コネクテッドカーに対する脅威への対策を考える

「100年に一度」と言われる大変革の時代に直面したといわれる自動車業界。その中心的な役割を果たしているのが、ネットワークに接続する「コネクテッドカー」だといえる。その実現にはセキュアなソフトウェアが不可欠だ。ソフトウェアとセキュリティの重要性に関して、シノプシス、セキュリティ技術担当バイスプレジデントであるゲイリー・マッグロウ氏の意見を聞いてみよう。


どれほどテクノロジーを否定しようとも、現代社会においてソフトウェアを使わないようにすることは不可能となった。ソフトウェアは、目には見えなくても、私たちが日常的に使う様々なものの一部として必要不可欠なものになっているからだ。現在では、自動車を動かすのにもたくさんのソフトウェアが関わっている。

自動車業界におけるソフトウェアとセキュリティの関係を考えてみよう。2018年、ソフトウェア開発企業の多くが注目したのが、「あらかじめ」セキュアに設計され実装されるシステムを構築することだった。その結果、ソフトウェアがセキュアに開発されていれば、ハッカーからソフトウェアを守るのがずっと容易になることが分かった。

ソフトウェアのセキュリティを重視することや、セキュリティをソフトウェア開発プロセスのもっと早い段階に移動することが不可欠だという考えは、全ての技術者が同意するだろう。ソフトウェアの開発ライフサイクルの初期のうちに実装バグや設計の不備を特定・修復することは、企業のコスト削減や時間の短縮につながる。

自動車メーカーは、製造ラインから送りだす前の段階で、できるかぎり安全でセキュアな車を作ろうと試みている。自身のソフトウェアおよび自動車開発に関わる全サプライヤーのソフトウェアがセキュアであることを理解することが重要だ。実際、現代の自動車を安全にするために金属学や衝突保護、シートベルト、素材科学に対して払ってきたのと同じくらいの注意をソフトウェアをセキュアにするためにも払う必要がある。

ソフトウェアセキュリティへの第一歩は、それを誰かの仕事にしてしまうことにある。ソフトウェアセキュリティグループ(SSG)を構成し、そのグループの責任者として権威を持った役員を配置するのだ。このSSGのタスクとして、社内に強力なソフトウェアセキュリティイニシアティブを開発させる。ファイアウォールに通じたネットワークエンジニアよりも、セキュリティに関する知識を持ったソフトウェア人材を配置した方がよいだろう。

自動車にソフトウェアが搭載されるという概念がいまだに初期段階にあるからといって、業界が追いつくまでハッカーたちは手を出すのを待っていてはくれない。ますます接続性の高まるシステムのエコシステムにあっては、キーフォブ機能を持ったスマートフォンから、自動走行車両に仕込まれたファームウェアソフトウェアにいたるまで、不具合を起こしうるものは多岐にわたる。

ソフトウェアセキュリティおよび自動車に組み込まれるソフトウェアに関して、受け身でいてはいけない。SSGをスタート地点として、セキュリティエンジニアリング能力を評価し、自社で作るソフトウェアの強みと弱みを把握して、ビジネスに力を与え、かつ顧客を守るソフトウェアのセキュリティを強化するための明快なロードマップを確立するべきだ。