つながるクルマの「修理権」で想定される課題と懸念：修理する権利とコネクテッドカー（2）（3/3 ページ）

前回の記事では、2020年に米国マサチューセッツ州で承認された「車両を修理する権利」の改正案を紹介した。今回は修理権に関するセキュリティの課題と懸念をさらに調査し、それらに対処するためのセキュリティのアプローチについて説明する。

[岡デニス健五，MONOist]

3つの主要なコンポーネント

　このユースケースでは、図3に表示されているように、システムの3つの主要なコンポーネントが存在する。

1. バックエンドソリューションであるオープンプラットフォーム　
2. ユーザーソリューションであるモバイルアプリケーション
3. 一般の修理工場のソリューションである故障診断ツール

図3：システムの3つの主要コンポーネントの概要（クリックして拡大） 出典：シノプシス

　2020年の修理権の改正案には、（1）オープンプラットフォームと（2）モバイルアプリケーションの2つの新しいコンポーネントがある。（3）故障診断ツールは2013年の修理権にすでに含まれている。しかし、システム全体と互換性を持たせるためには、（1）オープンプラットフォームと（2）モバイルアプリケーションとのやりとりをサポートできるように（3）故障診断ツールを更新する必要がある。

　（1）オープンプラットフォームと（2）モバイルアプリケーションは、一から開発する必要のある新規コンポーネントであるため、セキュリティの観点から、これらのコンポーネントはソフトウェア開発のベストプラクティスに従って開発され、上記に述べられているようにシステムに適切なセキュリティコントロールが最初から組み込まれていることが不可欠だ。

　システムに関するセキュアなソフトウェア開発要件、セキュリティテスト要件およびメンテナンス要件は、2020年の修理権の改正案では指定されていないが、満足のいくレベルのセキュリティを確実に達成するためには自動車業界が協力することが重要だ。

まとめ

　2020年の修理権の改正案はまだ訴訟で議論されているが、自動車メーカーなど自動車のソフトウェアを開発する組織は、この提案された法律が可決された場合、それを順守するために必要な準備を検討し始める必要がある。

　法律で義務付けられているようなシステムの開発は大規模な事業であり、慎重な検討と計画が必要だ。さらに、このようなシステムはサイバーセキュリティ攻撃を受けやすいため、適切なセキュリティコントロールを適用することと、セキュアなソフトウェア開発プロセスのベストプラクティスに従うことの2つの主要な項目を考慮し、最初から適切なセキュリティの構築を検討することが不可欠である。

著者プロフィール

岡 デニス 健五

日本シノプシス合同会社のソフトウェアインテグリティグループにてプリンシパルオートモーティブセキュリティストラテジストとしてセキュリティソリューション業務に従事。2006年より車載セキュリティを専門としている。

過去にはスウェーデンでボルボの自動車セキュリティ研究を始め、リモート診断やOTA（over-the-air）アップデートを専門としていた。前職のBoschグループでは国内とグローバルの顧客対応に従事。日本とAPACのエンジニアリング及びコンサルティングマネージャーとして特に車載セキュリティの部署（ESCRYPT）の設立に協力し貢献した。

現在、日本シノプシスでは自動車セキュリティのソリューション、主にソフトウェア開発ライフサイクルとサプライチェーンに特化したソリューションを提供しており、60以上の執筆を手掛け、世界中で講演も多数行っている。

→連載「修理する権利とコネクテッドカー」バックナンバー