コネクテッドカーなどをセキュリティを守るための「7本の柱」、加BlackBerryが提唱

　加BlackBerryが発表したコネクテッドカーや自動運転車のセキュリティに対する指針は、「7本の柱」からなっている。自動車の部品調達から、製造、納車後のメンテナンスまでを対象にしている。7本の柱の骨子を以下に挙げる。

柱1＝サプライチェーンを守る：自動車に組み込むすべてのチップやECU（Electronic Control Unit）などについて、製造元に関係なく、信頼できる仕組みで適切に認証できるようにする。組み込みソフトウェアに対しては、自社のセキュリティ標準を満たしていることを事前に確認すべきである。定期的にサプライチェーンに脆弱性がないかを確かめたり、試験的に攻撃したりすることで、信頼に足ることを確認する必要がある。

柱2＝信頼できる部品だけを使う：信頼できる部品、信頼できるソフトウェア、信頼できるアプリケーションを組み合わせることで、多層防御のセキュリティーアーキテクチャーを実現する。

柱3＝システムを分離し、通信を信頼できるものにする：車内のECUを、安全への関与度で分け、両者を接続するネットワークを分離する。ネットワーク攻撃などの異常が発生しても、自動車の基本機能「走行、操舵、停車」を維持する。外部との通信の安全性を保証する。システム間の通信は信頼できる秘密通信にする。

柱4＝納車後も稼働状態を監視する：ECUに、障害などの分析・診断ソフトウェアを装備しておき、クラウド側で解析することで予防措置を講じる。納車後の車両は定期的に遠隔から検査し、事前に設定した指標を確認できるようにすべきだ。問題が発生すれば、OTA（over-the-air）により組み込みソフトウェアを遠隔からアップデートできるようにする。

柱5＝セキュリティ侵害にすぐ対応できるネットワークを構築する：すでに知れ渡っている脆弱性などの情報を交換し合えるネットワークを構築し、協力関係にある企業にも参加してもらうべきである。複数の企業が情報を持ち寄ることで、セキュリティ専門部署は、新しい脆弱性が見つかったときなど、顧客に適切な対応を求める情報を早期に提供でき、対策プログラムも短時間で作成できる。

柱6＝製品寿命が尽きるまで、修正プログラムを提供し続ける体制を作る：問題が発生したときは、遠隔からソフトウェアをアップデートするだけでなく、通信の安全に関係する証明書に、適切な認証局（CA：Certificate Authority）が認証したものを使用する。製品寿命が尽きるまでの間に車両がダウンロードした修正プログラムを管理する。

柱7＝安全とセキュリティを企業文化として根付かせる：自動車の電子システム製造に関わるすべての企業は、自動車の機能安全とネットワークセキュリティに関するトレーニングを実施し続け、安全とセキュリティが企業文化として根付くよう尽力すべきである。

　BlackBerryは、かつて企業向けモバイル端末で大きな市場を獲得したが、スマートフォンの台頭で端末製造から撤退していた。そこでの技術などをベースに現在は、IoT（Internet of Things:モノのインターネット）関連のセキュリティ事業などに軸足を移している。これら7本の柱を守るための技術やサービスを開発・提供しているという。

　なお、上記の7本の柱の詳細は、BlackBerryがまとめた技術解説文書『Cybersecurity for Automobiles: BlackBerry's 7-Pillar Recommendation』に詳しい。同文書は同社のWebページからダウンロードできる。