自動車とセキュリティそれぞれの精鋭がタッグを組むシナジーで安心・安全なモビリティ社会の礎を築く

NDIASで自動車セキュリティ事業部主任セキュリティコンサルタントを務める高橋和晃氏

　2022年9月1日〜2日に開催された「第7回 IoTセキュリティフォーラム2022 オンライン」（主催：横浜国立大学先端科学高等研究院、企画：プログラム委員会）に、NDIASの高橋和晃氏（自動車セキュリティ事業部 主任セキュリティコンサルタント）が登壇。自動車業界におけるセキュリティの最新動向や同社の支援サービスを解説し、視聴者の高い関心を集めた。

　講演の冒頭で高橋氏はこう切り出した。「最近の自動車には、無線通信や制御用の車載コンピュータ（ECU）などデジタル技術が凝縮されています。OTA（Over The Air）でプログラムを更新するといった高度なことができるようになってきましたが、それはサイバー攻撃の格好の標的になることと常に表裏一体であることを意味しています」──。

　決して脅しめいた絵空事ではない。2015年、2人のハッカーがJeep Cherokeeに無線通信経由で侵入し、ステアリングやヘッドライト、ドアロックなどのリモート制御に成功したことを公にするという衝撃的な出来事が起きた。これに限らず、深刻な報告は世界中で引きも切らない。コネクテッドカーにとって、セキュリティはますます重要なテーマとなっているのである。

　2021年1月、国連の自動車基準調和世界フォーラム（WP29）から、自動車を対象にサイバーセキュリティを確保するための法規「UN-R155」が発効。これを満たすには、2021年8月に発効された自動車サイバーセキュリティー規格「ISO／SAE 21434」への準拠が必要になるなど、世界をあげての取り組みがにわかに活況になっている。

自動車×セキュリティの精鋭企業としての存在感

　こうした状況下、サイバー攻撃から自動車を守ることで、安心・安全なモビリティ社会の実現に貢献しようと事業を展開しているのがNDIASだ。ITやIoTセキュリティについての知見を持つNRIセキュアと、グローバルな自動車部品サプライヤのデンソーによって設立された企業で、セキュリティとモビリティという、それぞれ深い専門性を必要とする領域の精鋭メンバーが顔を揃える（図1）。

図1　自動車とセキュリティ、それぞれを専門領域とする2社のジョイントベンチャーとして創設されたNDIAS

　「ECUはコンピュータであり、ソフトウェアが動いています。車両の構造・構成や挙動を知り尽くした上で、さらにITのバックグラウンドがなければ自動車のセキュリティは確保できません。当社ならではの価値を届け、自動車産業や社会に貢献するのがミッションです」と高橋氏。そのNDIASは、自動車メーカーや部品メーカーを対象に、セキュリティコンサルティング、セキュリティアセスメント、セキュリティトレーニングなどを提供（図2）。顧客企業の車載機器やECUのほか、バックエンドも含めたシステム全体のセキュリティをエンドツーエンドで盤石なものにすべく支援している。

図2　NDIASの主要な活動実績。特にセキュリティ評価サービスは市場から高い支持を得ている

　考え得る対策をすべて詰め込むアプローチ、つまり最初から多種多様な手立てを内包させておくほど安全性が高まることに一理はあるが、それは必然的に製造原価を引き上げることにつながってしまう。NDIASは、ECU診断時に発見したセキュリティの問題に対して優先度をつけて報告。市場出荷後のリスクを可能な限り抑えることを標榜している。

ライフサイクル全般を見据えたセキュリティ対策を

　「狡猾なサイバー攻撃から自動車を守る上で大事となるのは、企画、開発、製造、運用、廃棄といったライフサイクル全体を見据えてセキュリティを確保することです」と高橋氏は説明する（図3）。企画〜製造においては、まず保護すべき情報を洗い出し、侵害された際にどのような影響が出るかを確認。そこで明らかになったリスクを抑えるための方針を固めた上で、具体的なセキュリティ対策を組み込む。

図3　企画、開発、製造、運用、廃棄のライフサイクル全体を通じてセキュリティを確保する

　ここで終わりではない。市場出荷後に発生した脆弱性や脅威によって車両が攻撃・侵害されていないかを継続的に監視する必要がある。例えば、車載機器がOSとして使っているAndroid Automotiveなどの脆弱性や、SBOM（ソフトウェア部品表）に載っているライブラリの脆弱性などを監視して、問題があれば対処するような取り組みが欠かせないのだ。「アセスメントやコンサルティングなど当社は様々なサービスを提供していますが、すべて一連のサイクルを念頭においたものです」（高橋氏）。

　先に触れたように、コネクテッドカーの安全性を確保すべく世界的な組織や団体が規制や規格を続々と出しているのが昨今の状況だ。脅威の特定やそれを抑え込むための方針を定めること、すなわちリスクアセスメントにおいては、規制や規格に付随するガイドラインに則って進めるのが現実的な近道だ。示された手順の通りにチェックしていくことで、安全性を考慮する上での抜けや漏れを防ぐことが期待できる。作法の雛形として参照し、自社の開発プロセスに適用させる使い方にも向くだろう。

　もっとも、「ガイドラインを読んでも、判断基準が曖昧だったり、どこまで考慮すべきか不明瞭だったりと、解釈に幅が出る所が少なくありません。ここでは、セキュリティに関する経験や“土地勘”が不可欠、つまり個人情報や機密情報を企業システムからいかに漏洩させないかといったことで培われてきたノウハウが不可欠であり、私どもに相談が持ちかけられることが多々あります」とは高橋氏の弁だ。

施した対策の妥当性を検証するセキュリティ評価

　自動車メーカーや部品サプライヤにとって、さらに悩ましいのは、リスクアセスメントを経て施した対策が妥当なのかを検証すること、すなわちセキュリティ評価だという。「評価時に何を、どれぐらい見ればよいか分からない」「影響度の高い脆弱性をうまく見つけられない」「最新のトレンドに追い付くのが並大抵ではない」といった声がそこかしこから聞こえており、社外の専門組織に評価を委ねようとのニーズは根強い。

　NDIASもそうした事情を理解しており、セキュリティ評価をサービスとして提供、市場から高い支持を得ている（図4）。「一例としては、ホワイトハッカーとしてECUに攻撃を仕掛け、脆弱性を潜在させていないかといった検証しています。これまで、70以上のECUを評価し、400以上の脆弱性を検出した実績があります」（高橋氏）。

図4　自動車に施したセキュリティ対策の妥当性を確認して評価するサービスに注力している

　標準的には5つのステップで評価を進める。具体的には、①構成や資産の詳細を調べる「情報収集」、②攻撃シナリオを想定しながら脅威を洗い出す「脅威確認」、③ECU単体ごとに物理／ソフトウェア評価を実施する「ECU個別評価」、④ECUそれぞれの評価結果を総合して車両全体を評価する「全体評価」、⑤脆弱性を危険度と共にリストアップし推奨対策を示す「報告」である（図5）。

図5　セキュリティ評価の基本的な進め方。常に攻撃者の視点で実施するのが特徴だ

　NDIASでは業界の各種ガイドライン、例えば、ENISA（欧州ネットワーク・情報セキュリティ機関）の「Good Practices for Security of Smart Cars」や、OWASP（Webアプリケーションに関する課題解決のためのオープンコミュニティ）の「IoT Security Verification Standard」などに照らしつつ評価の観点を決定。一方では、国際的ハッカーイベント「DEF CON」内で自動車セキュリティに特化して開催する技術戦「Car Hacking Village CTF」にも出場する世界屈指のエンジニアが脆弱性を精査する体制を整えている。

　「重箱の隅を突くような軽微な脆弱性ではなく、市場出荷後に大問題に発展しかねない脆弱性を見つけたいのが市場ニーズです。それには知識の幅や深さ、高度なスキルが必要であり、当社はその実力を備えた人材が攻撃者の視点に立って評価できるのがアドバンテージです」と高橋氏は説明する（図6）。

図6　影響度の大きな脆弱性を見つけるためには、知識の幅や深さ、高度なスキルが必要となる

PSIRTの構築運用や人材の教育研修にも注力

　ライフサイクルの後半である市場出荷後の領域でNDIASが提供しているのがPSIRT（Product Incident Response Team：製品・サービスを対象とするセキュリティ対応組織）に関わる支援サービスだ。チーム構築時には、脆弱性情報管理手順、インシデント対応手順といった社内規定・ガイドライン策定をサポート。 また、体制構築後の継続的な活動を視野に入れ、脆弱性情報の収集、トリアージ、関連部署へのアラート、関連組織への定期訓練等などを提供する。

　特に運用時においては、自動車業界での実績とスキルを備えたスタッフが、脆弱性情報を継続的に監視。 製品との関連性および重大性を考慮し、必要に応じて関係部署に通知する（図7）。また、公知の脆弱性情報（Black Hatなどのセキュリティカンファレンス情報やニュース情報など）を基に「どういった攻撃が行われているか」「何が原因なのか」を分析し、月次/週次でレポートする体制を整えている。

図7　PSIRT運用支援サービスの概要。最新の脅威や脆弱性の情報を分析し診断時の観点として活用する

　昨今は教育研修にも力を注いでいる。「設計や製造の現場にセキュリティに強い人材を増やしたいというニーズが急速に高まっています。外部の専門家と会話する時に話が噛み合うように、あるいは世界の最新動向への即応力を高められるようにすることで、セキュリティの実効性を極めたいとの思いがあるようです」と高橋氏は言う。

　NDIASが提供するセキュリティ教育支援サービスでは、法規やリスクアセスメントなどの「プロセスコース」と、攻撃・防御技術、自動車セキュリティなどの「テクニカルコース」の2軸でカリキュラムを組んでいる（図8）。「プロセスは規制や規格に関する世界的な動向にキャッチアップするのに最適ですし、テクニカルは実際に手を動かして知識に加えてスキルも身に付くのが特徴です」（高橋氏）。

図8　セキュリティ教育支援サービスの概要。プロセスとテクニカルの2軸でカリキュラムを組む

　今後は、攻撃や防御の技術研修に厚みを持たせていくという。printf()などライブラリ関数の引数の特性を悪用する書式文字列攻撃、Linuxカーネルの機能悪用で権限昇格を可能とする手法など、前述のハッカー世界大会に名を連ねている選りすぐりのメンバーが関与して、マニアックでディープなコースを拡充していく予定だ。すべてに、「安心・安全なモビリティ社会の実現」という熱い想いが通底している。