自動車のセキュリティには車載ECUの制約を考慮した標準化が必要に

　「自動車のメーカーやサプライヤーはJASPAR（Japan Automotive Software Platform and ARchitecture）の成果物の概要を知り活用していただきたい。そしてセキュリティに取り組む全ての企業／機関には、JASPARの活動に興味・関心を高めていただき、その意義や価値に賛同する仲間になっていただきたい」--。JASPARで情報セキュリティ推進WG（Working Group）副主査を務める根本 浩臣 氏は、こう訴える（写真1）。同氏は本田技研工業のセキュリティリスクマネジメント部 部長・エグゼクティブチーフエンジニアでもある。

写真1：JASPAR（Japan Automotive Software Platform and ARchitecture）情報セキュリティ推進WG 副主査の根本 浩臣 氏

大容量メモリーや高性能CPUを搭載しない車載システムが制約に

　JASPARは、高度化・複雑化する車載用電子制御システムのソフトウェアやネットワークの標準化や、共通利用による開発効率と信頼性の向上に向けて2004年に設立された業界標準化団体である。自動車メーカーや、部品メーカー、ソフト・ツールメーカーのほか、商社や通信事業者、大学・研究機関から技術者が参画する。日本自動車工業会（JAMA）や自動車技術会（JSAE）などと連携しながら、車載ネットワークやソフトウェア、情報セキュリティの標準化に取り組んでいる。

　JASPARにおけるサイバーセキュリティに関する取り組みでは、情報セキュリティ推進WGが対策技術の標準化やロードマップ策定を担っている。同WGでは「“つながる可能性”を広げつつ、顧客に安全・安心なサービスを提供できる情報セキュリティの標準技術の確立を目指している。そのために協調領域における対策技術や検知技術の標準化や規格・技術文書の作成などに取り組んでいる」（根本氏）

　自動車業界におけるセキュリティの特徴の1つとして根本氏は「車外からの遠隔接続に加え、屋外であるという特性上、隣接距離や乗り込みによる脅威を想定する必要があること」を挙げる（図1）。実際、遠隔接続による脆弱性については2015年に「Jeepハッキング」が発生。近距離通信の脆弱性では2020年に「テスラModel Xハッキング」が発生している。

図1：JASPARが提示する自動車セキュリティの基本対策

　加えて対策技術の検討・標準化では「自動車の使われ方の脅威だけでなく、実装上の制約も考慮する必要がある。具体的には、メモリーの制約、処理能力・リアルタイム性の制約、通信量の制約などだ」と根本氏は説明する。

メモリーの制約 ：車載システムは大容量メモリーを搭載しておらず、想定する攻撃に合わせて取得するログを選定する必要がある
処理能力・リアルタイム性の制 約：車載システムは高性能なCPU（中央処理装置）を搭載していないにもかかわらずリアルタイム性が求められ、全てのデータや通信に対する暗号化や認証が困難
通信量の制約 ：制御装置をつなぐCAN（Controller Area Network）通信では一度に大量のデータを送れずIT領域のセキュリティの取り組みの流用が困難

　自動車には数十から百個程度のECU（Electronic Control Unit）が搭載され“走る、曲がる、止まる、快適”などのための通信・制御を実行している。そこには「さまざまな機能やサービスを動作させるためのソフトウェアや顧客情報を保存したデータ、ECU間を流れる通信データといった資産がある。そのため、個々のECUへの対策に加え、ECUを重要性で分類したうえで全体を多層防御する仕組みも採用し、外部からの攻撃を困難にしている」と根本氏は説明する。

必要な技術の標準化を4つのフェーズで取り組んできた

　こうした特性を持つ自動車セキュリティでは「技術の標準化が極めて重要になる」と根本氏は強調する。技術の標準化は「2015年のJeepハッキングを1つのきっかけに、遠隔攻撃、自車改造（車外への攻撃）、他車侵入などの脅威を想定しながら、大きくは次の4つのフェーズで実施されてきた」（同）という（図2）。

図2：自動車における想定脅威と技術標準化の動向

第1期 ：CANメッセージ認証
第2期 ：セキュアブート、Ethernetメッセージ認証
第3期 ：ソフトウェア信頼性、攻撃と故障の切り分け
第4期 ：センサーセキュリティ、OS（Operating System：基本ソフトウェア）／API（Application Programming Interface）セキュリティなど