クルマ開発のライフサイクル全体でセキュリティ確保へ、パナソニックASが機能強化:車載セキュリティ(2/2 ページ)
パナソニック オートモーティブシステムズは、自動車サイバーセキュリティソリューション「VERZEUSE」シリーズを拡充し、新たにISO/SAE 21434 準拠脅威分析ソリューションを追加するなど、クルマの開発から車両出荷後までライフサイクル全体にカバー範囲を広げる。
脅威分析を行う「VERZEUSE for TARA」
新たに展開するのがISO/SAE 21434に準拠した脅威分析ソリューションの「VERZEUSE for TARA」だ。従来の設計フェーズの脅威分析は、守るべき資産の特定から脅威シナリオや攻撃経路の抽出、リスク評価、対策要件の定義などに膨大な工数が発生し、セキュリティに精通していない開発者にとっては大きな負担となっていた。「VERZEUSE for TARA」はこれらの一連のプロセスを自動化し、負荷を大幅に軽減できる。
「パナソニック オートモーティブシステムズの社内での事例だが、ナビゲーションシステムの開発で脅威分析を行った結果、30人月かかっていたのが3人月になり、作業工数を90%削減することができた」と中野氏は実績について語る。
具体的にはまず質問票に回答し、ハードウェア構成や各機能で取り扱う資産や影響を把握し、Webシステムに登録するだけで分析結果を示してくれる。各機能の脅威分析結果からリスクの所在を確認することができる他、必要なセキュリティ対策についても候補を示してくれる。「セキュリティの知識がなくても車載機器の設計者が簡単に脅威分析を行えるという点が特徴だ」と中野氏は述べている。
コンテナ技術に対応した攻撃検知、防御ソリューション
以前から展開していた仮想化セキュリティソリューション「VERZEUSE for Virtualization Extensions」もバージョンアップし「Type-3」を用意した。これはコンテナ技術を採用し、サイバー攻撃を受けたとしても、車両の安全を維持できるという組み込み型のシステムだ。
仮想化環境を利用し、車両外部ネットワークと接続して攻撃者に侵入されるリスクが高いソフトウェア領域と、制御機能やソフトウェア更新機能など車両の重要な機能を搭載するソフトウェア領域の間の通信を監視する。監視機能は隔離されたコンテナ内に配置され、セキュアな領域から監視して異常な通信を遮断する。インタフェースを介して任意の監視機能をプラグインとして取り込むこともできる。プラグイン管理機能により、通信の特徴に合わせて適切な監視機能なども選択可能だ。その際、アプリケーション側の変更は不要なため、低コストで導入できる。既に、車載製品とし自動車メーカーに採用されることも決定しているという。
評価手順を効率化できる車載セキュリティ評価ソリューション
評価フェーズにおいて、これまで手作業で行うことが多かったセキュリティ評価を、専門知識がなくても高品質かつ効率的に実施できるソリューションが「VERZEUSE for Threat Evaluation and Security Test Assistance toolkit」だ。ファジングテスト、脆弱性テスト、ペネトレーションテストなど、各種セキュリティ評価を実施するための手順や基準を網羅的に定義し、車載ECU開発に必要な評価項目に合わせて柔軟にカスタマイズできる。また、評価の実施をツールで自動化し、効率的に脆弱性の評価を行う。
セキュリティ評価ソリューションの「VERZEUSE for Threat Evaluation and Security Test Assistance toolkit」の概要[クリックで拡大] 出所:パナソニック オートモーティブシステムズ
VERZEUSEシリーズの展開について、中野氏は「自動車メーカーが第1ターゲットとなるが、サプライヤーについても脅威分析などは必要になるので、ニーズに応じて対応する」と述べている。
今後の機能拡充については「VERZEUSEシリーズ開発の動機は、1つは法規対応で膨大になる工数の効率化を進めるためだ。もう1つがサイバー攻撃が巧妙化する中でそれらを見極めて攻撃を防げるようにするということだ。これまでの機能拡張で、効率化の面ではある程度は提供できるようになった。今後はそれぞれのソリューション連携によるさらなる効率化などを訴求していく。また、巧妙化に対応するために通信やプログラムの動作を常に監視し続けるような形での発展について検討している」と中野氏は今後の方向性について語っている。
なお、パナソニック オートモーティブシステムズでは、VERZEUSシリーズを2024年11月20〜22日にパシフィコ横浜で開催される「EdgeTech+ 2024」に出展する予定だとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 関連記事
自動車セキュリティとソフト更新の国際基準が成立、2022年へ対応急務
国連の自動車基準調和世界フォーラム(WP29)が2020年6月24日に開催され、自動車のサイバーセキュリティとソフトウェアアップデートに関する国際基準(UN規則)が成立した。車両の型式認可を受ける際に、国際基準を満たす体制であることを示す必要がある。サプライチェーンや製造後の自動車の使用期間の全体像を見た対応が求められており、自動車メーカーだけでなく、サプライヤーの参加や自動車のユーザーの理解も不可欠だ。
家電やスマホの苦い経験に裏打ちされた、パナソニックの統合コックピットの競争力
社内カンパニーの1つであるパナソニック オートモーティブ社は、2022年4月から事業会社「パナソニック オートモーティブシステムズ」としてスタートを切る。2021年10月1日からはこれに向けた移行期間で、「自主責任経営体制」となった。
自動車メーカーとサプライヤーはどう連携してセキュリティに取り組むべきか
本連載では、2019年9月の改訂案をベースにOEMに課されるWP.29 CS Regulationsのポイントを解説し、OEMならびにサプライヤーが取り組むべき対応について概説する。目次は下記の通り。
出荷後にクルマ全体のソフトウェア脆弱性リスクを分析、パナソニックASが新技術
パナソニック オートモーティブシステムズは、パナソニック ホールディングスと共同で、出荷後の車両ソフトウェアのセキュリティ脆弱性により生じるリスクを分析する「VERZEUSE for SIRT」を開発した。
自動車メーカーに必須の「サイバー攻撃の監視」、パナソニックとマカフィーがサービス化
パナソニックとマカフィーは2021年3月23日、自動車に対するサイバー攻撃を早期に検知する「車両セキュリティ監視センター(車両SOC、Security Operation Center)」の構築に共同で取り組むと発表した。
車載セキュリティを2020年以降に製品化、パナソニックとトレンドマイクロ
パナソニックとトレンドマイクロは、自動運転車やコネクテッドカー向けのサイバーセキュリティソリューションを共同開発する。
2022年7月から義務化のWP29セキュリティ法規、「すでに完了」は20.8%にとどまる
PwCコンサルティングは2021年8月12日、国連の自動車基準調和世界フォーラム(WP29)が定めた自動車のサイバーセキュリティとソフトウェアアップデートに関する国際基準(UN規則)への対応状況をまとめた調査レポートを発表した。関連業務に従事する101人から回答を得た。