コネクテッドカーのECUにおける脆弱性を早期発見

ネットワークセキュリティ提供を手掛けるアズジェントは、イスラエルのKaramba Security(カランバセキュリティ、以下、Karamba)のコネクテッドカーのECUにおける脆弱性を早期発見するためのサービス「ThreatHive」の提供を開始する。


自動車に搭載される電子制御ユニットであるECUはエンジン、ブレーキをはじめ、様々な用途で搭載されている。コネクテッドカーの実用化が叫ばれる今日、インターネットからECUへのハッキングを防ぐことは必須だ。

ECUは通常、「要求分析→ソフトウェア設計→コーディング→単体テスト→結合テスト→総合テスト→仕様適合度判断」のプロセスを経て開発される。セキュリティにおけるテストは総合テストの段階で行われるが、テストにはセキュリティ以外にも様々なテストを行う必要があるため、セキュリティテストに多くの時間をかけることができないのが現状だ。

また、優良なレッドチーム(テストチーム)をタイムリーかつコストエフェクティブに委託することは現実的難しさがある。万が一、脆弱性が発見された場合には、既に総合テストが終了したECUへの修正となるため、市場投入に時間がかかるといった問題があった。さらに、人的リソースやセキュリティ知識が不十分で、脆弱性の洗い出しが十分ではなかった場合には、アップデートを頻繁に実施する必要も生じているという。

KarambaのThreatHiveは、ECUの脆弱性の早期発見を可能にするプラットフォームを提供する。世界の複数個所に配置された同社のクラウド仮想マシンに開発中のECUソフトウェアを設置、攻撃情報を収集する。収集した情報をアナリシス機能で分析することで、総合テスト前に脆弱性情報を得ることができる。

これらの脆弱性情報からソフトウェアに修正を施すことで、さらにソフトウェアを強固にすることが可能となる。これにより、製品の市場投入への時間短縮が可能となるとともに、市場投入後のアップデートも減らすことが可能だとアズジェントは説明する。