クライスラー、サイバーセキュリティによるリコール初の事例
車載組み込みシステムなどを研究する名古屋大学高田広章氏は「自動車のサイバーセキュリティと安全性」をテーマに講演を行った。自動車業界においても脆弱性の報告が増加するなか、「私が知る限り深刻な事件は起こっていないが、脆弱性事例は多くある。自動車のサイバーセキュリティ問題が表面化しているということ。自動車のサイバーセキュリティ対策を行わないと、危ない」と冒頭、高田氏は述べた。説明によれば、自動車がコンピューター化され、ネットワークに接続されると、サイバーセキュリティ問題が心配になってくるという。2013年9月に高田氏は横浜国立大学教授の松本勉氏との連名で「車載組込みシステムの情報セキュリティ強化に関する提言」を発表している。また2015年7月にはクライスラーが遠隔制御による問題でリコールが起き、これが自動車業界においてサイバーセキュリティ問題でリコールが起きた初の事例となり、「脆弱性がリコールの対象となることに議論も起こった。未確認情報だが、クライスラーはアメリカ政府の指導を受けてやむを得ずリコールに踏み切ったという説もある。改めてセキュリティが重要だという認識が広まったきっかけとなったことは間違いない」と高田氏は解説した。このほかにも脆弱性を明らかにした研究報告は多く上がっており、「遠隔から100台以上の自動車を使用不能」にした事例や「イモビライザを解除する装置の流通とそれを用いた自動車の窃盗」、「電子機器を使って自動車を解錠し、自動車内のものを盗難」などがある。
こうした状況下で高田氏は「安全性の定義」について整理した。組込みシステムのセキュリティ上にあるリスクは「システムの脆弱性を利用して、システムを誤動作、機能喪失させること」と改めて説明し、組込みシステムの中には、個人情報や気密情報を保持しているものも多く、制御系組込みシステムではシステムの安全性が損なわれる事態につながる可能性があるなかで、「組込みシステムのセキュリティ対象は守るもの。安全を確保するための機能を安全機能と呼ぶ」と整理しながらさらに、「セキュリティ」という用語の言葉の意味について考え、「セキュリティは主に、故意による攻撃からの防衛を意味していることが多く、従来の安全技術は主に自然に発生する故障や人為的なミスに対応することを主眼としてきた。そこにずれがひとつある」と指摘した。
トータルなセキュリティを考えることが重要
続いて、高田氏は「組込みシステムが守るべき資産」について考えを示し、「組込みシステムにおいて、本質的に守りたいのは情報に限らない。人命や健康、金銭など広く考えなければいけない。自動車の盗難防止も直接的には情報セキュリティの範囲外になってしまいがちだが、盗難防止が情報技術で実現されていればそこから先は情報セキュリティの範囲内。どのように防ぐことができるのか、それを実現するのはソフト屋の仕事になり、情報セキュリティに転嫁される。境界線は曖昧であり、どこで切るのが正しいという明確な答えはないが、トータルなセキュティを考えることが重要だ」と述べた。具体的には「機能安全技術とセキュリティ技術の類似性」に着目し、「機能安全においては、安全性を確保するために必要な安全機能が定義できれば、後は信頼性を確保すれば良い。
安全性を確保するために取るべき手段を抽出するための分析作業が安全要求分析であり、セキュリティにおいても同様なことが言える。セキュリティ要求分析の技術が重要になる。信頼性確保の部分は安全性とセキュリティで大きな違いはなく、共通化が可能だ」と述べた。一方で、セキュリティのリスク評価の難しさも説明し、「リスクは重大度と発生確率の組み合わせによるもので、セキュリティに対するリスクは重大度と脆弱性、脅威の組み合わせになる。脅威の評価は難しいが、脆弱性を利用してリスクを現実化させる手段として考えたい」と述べた。
セキュリティ対策に関する国際標準化が待たれる
さらに、高田氏は「車載組み込みシステムに求められるセキュリティ対策とその課題」についての考えも示した。説明によると、対策の考えとして必要なことは「従来のインターネット世界では後追い対策の流れが多いが、人命にかかわるシステムで後追い対策は避けたい。設計時からセキュリティ対策を実施することが必須。さらに、外部との接続点となるECUでセキュリティ対策が必要なことも明らか。物理的な攻撃とサイバー攻撃とのバランスを考えて、ひとつの対策が破られた場合にも、すぐに危険につながらないような設計が望まれる」という。そして、最大の課題は「セキュリティ対策の基準がないこと」と指摘した。「一般に、セキュリティ対策をするほど、コストは上がる。対策をやり過ぎて、無用なコストアップになるのは避けるべきだが、何がやり過ぎなのか判断が難しい。セキュリティの高い自動車だからといって、販売価格が上がることを消費者に理解を示すことも難しい。
現時点では基準を示す国際規格がなく、国際標準化が待たれる。SAEが発表しているガイドラインは有益なものだが、どこまでの対策をすべきかに関する基準を示していない。現時点で使える基準は、物理的なセキュリティリスクとの比較。自分がユーザーになった気持ちで考え、エンジニアの直感を重視せざるを得ないと思っている」と考えを示した。また技術的な課題としては、「Attack treeなどのセキュリティ分析手法が知られているが、まだ確立された技術とは言えない。IT分野の技術を用いるのも妥当だが、実現コストは大きくなる。妥当なコストでそこそこ堅いセキュリティを実現するには、応用ドメインの特性を活かすことが必要だ」と述べた。また限られたリソース下でのセキュリティ対策技術の例としては、「AUTOSARセキュアオンボード通信」を挙げた。
最後は「取り組むべき技術課題」をまとめ、「セキュリティ要求分析をしっかりやるべき。中長期的には人口知能による分析支援が求められる。また技術以外でもいろいろやらないといけない。セキュリティ対策に対する相場観を醸成させることも必要だろう。変化する脅威に対応してシステムを更新する仕組みを導入することや情報セキュリティ技術と車載組込みシステム技術の両方に精通した人材も求められる。ユーザーに対する啓もう活動も必要になってくる」と述べ、締めくくった。
2016年9月9日開催 Security Vision 2016 名古屋 ※ 2016年9月時の肩書きとなります。
動画再生時間:33分21秒
名古屋大学 大学院情報科学研究科附属組込みシステム研究センター センター長・教授 高田 広章 氏による講演、「自動車のサイバーセキュリティ ~現状・課題・動向~」