大いなる能力に伴う大いなる責任 - 最近、未来のクルマはますますソフトウェアで定義されるようになるという展望を多く耳にします。高性能コンピューティングを最新のセンサや広範囲の接続性と組み合わせれば、車両の機能や走行性能を主にソフトウェアで決定できるようになります。
ただし、この場合、普段耳にしない「サイバーセキュリティ」が重要な側面となります。ソフトウェアデファインドビークルへの円滑な移行に向け、新たな規制や規格(UNECE WP.29 R155 [1] & ISO/SAE 21434 [2] )では、サイバーセキュリティへの対処を開発のすべての段階および車両のライフサイクル全体を通じて義務付けています。そのため、リスクの評価とリスク軽減策の実装、さらにはサイバーセキュリティ対策の効果を検証するための広範なテストの実行が必要になっています。
今回の記事では、自動車サイバーセキュリティの現状を、規制によって課されている要件も含めて手短に確認していきます。また、サイバーセキュリティ対策として必須のテストを行うことによって生じる新しい課題に対してdSPACEがどのようなサポートを提供しているかも紹介します。
サイバーセキュリティが重要である理由
車両におけるデータ通信の重要性は近年大いに高まっています。これは主に、ADAS/AD機能でデータレートの高いセンサが使用されることや、車両の最新のE/Eアーキテクチャで広帯域幅のデータバックボーンが利用されること、さらには各種の接続機能がインフォテインメントサービスやオンラインサービス、無線インターフェース、over-the-airアップデートといったさまざまな目的に使用されることによって引き起こされています。
これらの機能の多くは特に車載Ethernetを利用して実現されています。車載Ethernetは、車両の通信ネットワークを十分に確立された広帯域幅かつスケーラブルなオプションによって拡張して利用します。車両の接続性が多様化し、やり取りされるデータ量が増加すると、特に次のような自動車サイバーセキュリティに関する課題が生じます。
- 自動運転のレベルが向上し、先進運転支援システムの実装が増加した場合、車両の通信ネットワーク内で増加する安全関連データに対処する必要がある自動運転のすべての活動に必須の基盤である信頼性の高いセキュアな通信を確立する必要がある
- インフォテインメントサービス、無線アップデート、およびV2Xアプリケーションよって接続機能が拡大した場合、リモートエントリポイントが提供されることにより、悪意のある侵入者にとっての潜在的な攻撃対象となる可能性がある
- 路上を走行する電気自動車が増加した場合、車両および充電ステーションインフラストラクチャ間の安全かつセキュアな接続を保証しなければならないという重要な側面もある
- 概念的なサイバーセキュリティの必要性のほかにも、過去の具体的なインシデントを見ると、車両の損傷や盗難といった金銭的損失のリスクや、さらに重要な課題として安全上および健康上のリスクなど、さまざまなセキュリティ侵害の危険性が存在する
- さらに、これらのセキュリティインシデントが発生した場合、風評被害も生じる
これらすべてのリスクに対処するため、サイバーセキュリティ対策では次の3つの重要な項目に重点を置き、セキュアな通信を保証しつつ、セーフティクリティカルな機能を確実に保護することが重要です。
- 真正性 - データソースが信頼できるネットワーク参加者であることを確認する
- 完全性 - 転送中にデータが改ざんされていないことを確認する
- 機密性 - 許可された参加者のみがデータにアクセスできるようにする
つまり、自動車業界の現在のトレンドが向かう先には、車両内の潜在的な攻撃対象の大幅な増大が待ち受けています。上述のさまざまな例は、機能安全だけでなく、サイバーセキュリティへの適切な対処も必要であることを示しています。機能安全はISO 26262で標準化されているのに対し、サイバーセキュリティに関しては新しいガイドラインが近年導入されました。国連規制のUNECE WP.29 R155は、車両の認定に際して求められるサイバーセキュリティ対策の枠組みを定めたものであり、すべてのUNECE加盟国に適用されます。これは2022年7月以降、あらゆる新型車の型式認定で義務付けられており、2024年7月にはすべての登録車両で必須となる予定です。
では、どうすればよいでしょうか
この規制はOEMメーカーに対し、リスク管理、攻撃検出、対策の実装といった複数の側面に対応するサイバーセキュリティ管理システムの導入を義務付けています。また、ISO/SAE 21434は、開発中の製品におけるサイバーセキュリティ対策とそのプロセスを標準化したものであり、これに従うことで必須のUNECE WP.29 R155規制に準拠できるようになります。これらの規制で重要な点は、実装された対策の効果を実証できるサイバーセキュリティの「十分なテストの実施」 [1] を車両の型式認定の必須手続きとして義務付けていることです。さらに、自動車業界は新しい規制に正式に準拠するために、サイバーセキュリティへのリソースの割り当て、専門家のトレーニング、規格の策定、および適切な開発ペースの確立など、さまざまな課題に対応しなければなりません。つまり、それらの課題のすべてに対処するためには、開発の全段階を通じて標準化されたプロセスとしてセキュリティテストを導入することが鍵となります。
サイバーセキュリティテストをdSPACE製品で実行
実装されたサイバーセキュリティ対策を十分にテストすることは、UNECE WP.29 R155に準拠するうえで重要な要件の1つです。特に、車両の通信に対する脅威を緩和するには、「車両による受信メッセージの真正性と完全性の検証」や、「車両で送受信される機密データの保護」が重要です [1] 。サイバーセキュリティの側面に加え、今日の車載通信アーキテクチャの複雑性はさらに増しているため、テストを実行するプラットフォームへの要求は厳しくなっています。dSPACEは、バスおよびネットワーク通信のシミュレーションや妥当性確認向けの幅広い製品およびソリューションを提供することで、SIL(Software-in-the-Loop)環境における早期の機能テストから、HIL(Hardware-in-the-Loop)セットアップでの統合ECUネットワークのテストに至るまで、開発におけるすべての段階でお客様をサポートしています。また、優れた実績を持つ各種のdSPACEリアルタイムシミュレータでは、機能的な正確性を実証する適合性テスト、考えられる脆弱性を特定するペネトレーションテスト、隠れたエッジケースを確認するファズテストなど、さまざまなタイプのサイバーセキュリティテストを実行するための汎用的なプラットフォームを提供しています。ここでは、テストの実行中にバスおよびネットワーク通信にアクセスすることにより、不正操作(中間者攻撃、DoS、改ざん)、監視(スパイ)、データロギングおよびデータリプレイ(なりすまし、リプレイ攻撃)など、各種の攻撃を再現性の高い形で幅広くシミュレートすることができます。dSPACEでは、MACsec、IPsec、TLS、SecOCなどの関連セキュリティプロトコルをツールチェーン全体でサポートしています。これらのプロトコルは、上述の真正性、完全性、機密性といったセキュアな通信の鍵となる特性を保証するうえで重要な役割を果たします。当社はセキュリティの専門パートナーと協力しつつ、TLSで保護されたEthernet通信の妥当性確認など、求められるサイバーセキュリティテストに最適なエンドトゥエンドのソリューションを提供しています [3] 。
また、dSPACEのコンサルティング部門では、必要な技術的ノウハウと長年にわたる実際の経験を組み合わせた総合的なサポートを提供することにより、お客様のプロジェクトを成功に導きます。これらを通じて、当社は車両の安全性やサイバーセキュリティの検証に求められる今後の課題に対応します。