東京モーターショー シンポジウム2017では、セキュアIoTプラットフォーム協議会が主催した「安心・安全につながる車社会の実現を目指して ～コネクテッドカーのセキュリティを考える～」シンポジウムが開催された。組み込み機器関連ソフトウエアの開発とライセンスを手がけるユビキタスで代表取締役社長を務める佐野勝大氏は、シンポジウムの講演でコネクテッドカー時代のソフトウエアの開発、検証の方法について提言した。

コネクテッドカー時代に、ソフトウエアはこれまで以上に重要な役割を果たすようになっている。10年ほど前の自動車を振り返ってみると、ソフトウエアはたかだか1000行程度しかなかった。ところが高度運転支援など機能が複雑化した現在のクルマは、桁違いに多い1億行ぐらいのソフトウエアが動いている。将来、レベル5の完全自動運転まで目指すと、さらにその倍といったソフトウエアが必要になる。自動運転時代を迎えるにあたって、その機能のかなりの部分がソフトウエアに依存するようになっているのだ。

自動車の安全を確保するには、それらの膨大なソフトウエアが正常に動作することが前提になる。逆に言うと、ソフトが正常に動かないと自動運転やセーフティーカーが作れない。自動車のソフトに対して、セキュリティを破った攻撃がなされると、ソフトが正常に動かなくなり安全が確保できなくなる。

サイバーセキュリティが破られるとき、基本的にはソフトにある脆弱性、すなわちバグやすき間を突かれて、ソフトが異常を起こすような行動を取るようになる。これまでの情報通信の世界でセキュリティを突破された場合、ライフラインのインフラが止まって間接的に生活に影響はあったとしても、直接的に人の生命を危うくすることはなかった。ところがIoT、特に自動車ではセキュリティの不備は直接的な生命の危険をもたらす危険性がある。IoT社会を迎えるに当たって、危険性を軽減して安心安全な社会を作ることは、ソフトウエア開発企業として大きな課題だ。

自動車は「走る携帯電話」、つながったらハッカーの攻撃対象に

コネクテッドカーを取り巻くテクノロジーを整理してみたい。まずサービスとしての自動車の進化がある。シェアリングエコノミーの中で、自動車はどんどんサービスに向かっている。そしてコネクテッドカーの要件でもあるネットワークへの接続。自動車とスマートフォンの連携、V2X（Vehicle to Everything）と呼ばれるような車車間、路車間、人車間の通信が欠かせない技術になっている。さらにインターネットに接続するようになり、汎用プロトコルの利用が増えたことも大きな変化である。

これまで自動車の通信は、自動車業界の独自のプロトコルだった。それが汎用プロトコルになることで、通信について知識のある人が急増した。さらに車載ソフトウエアそのものも、オープンソフトが使われる部分が出てきた。ハッカーは、山があるから登る人がいるように、手強い課題があればチャレンジしてくる。これまでの自動車はオープンなネットワークにつながっていなかったからハッカーの攻略対象になっていなかったが、今後はハッカーにとって自動車が新しい「産業」になる危険性が高い。

実際、自動車のハッキングは高度化が進んでいる。自動車の自己診断機能であるOBD（On-board diagnostics） IIのコネクタを経由した車内からのハッキングだけでなく、車載インフォテインメント（IVI：in-vehicle infotainment）やWi-Fiを経由したハッキングなども増えている。今後は車外からリモートアクセスでハッキングすることも増えてくるだろう。

米国では、自動車のサイバーセキュリティを強化するため自動車情報共有分析センター（Auto ISAC）が設立され、国家道路交通安全局（NHTSA）のガイドラインに沿った自動車でなければ出荷できないような安全対策が施されている。日本でも後追いで、日本版Auto ISACとも言える業界横断的な標準化が推進されている。

もう一つ注意すべき点がある。それは情報系のセキュリティとボディ・制御系のセキュリティを一気通貫で考える必要があるということだ。これまでは、ナビやコネクテッドといった情報系とボディ・制御系では、エンジニアも別々でセキュリティ対策も個別に施されていた。ところが最近では、例えば情報系にあったバグから入り込まれて、ボディ・制御系の穴を突かれるという事態も起こっているためだ。

セキュリティ対策の視点を変える必要性も出てきている。これまでは、システムに穴があって、その穴のリスクを減らす方法論で対応していた。しかし、サイバーセキュリティではハッカーがどのような視点で攻めてくるかを考える必要もある。そのため、悪意のないホワイトハッカーやグレーハッカーと手を組んで、セキュリティを考える方法論を採用することも考えなければならない。

日本メーカーの場合、攻撃させて対策を施すという方法論は、文化的に馴染みにくいかもしれない。しかし、守る側からの視点だけでは限界がある。すでに米テスラなどは、「どんどんハッキングしてください」とハッカーに穴を見つけさせて直していく、という攻める視点のセキュリティ対策のスタイルを採用している。

「正しいソフトが入っている？」責任を追跡する仕組みが重要に

パソコンやスマートフォンではお馴染みのように、セキュリティ対策のためにソフトウエアには次々にパッチが当たっていく。これからの自動車も、スマートフォンなどと同様に適切なセキュリティアップデートがかかることで安全を確保していくことになる。すると、廃車になるまでずっと、自動車のソフトウエアの管理をし続けなければならない。自動車の特性として、途中で所有者が変わることが少なくないことが挙げられる。プライバシーの情報が含まれるときは、所有者が変わるときに情報を破棄し、悪意ある第三者に乗っ取られないように適切な情報の書き換えを続けなければならないのだ。そのためには、情報の追跡性を考慮したソフトウエアの設計が必要になる。

IoTでデバイスをどのように守るか、信頼性の拠り所を何にするか、これは難しい問題だ。信頼の拠り所としては、自動車の中に1台1台、デジタル証明書をハードウエア的に埋め込む「ルートトラスト」と呼ぶ方法がある。正しいデバイスであることを証明する機器認証と、相手のサーバーが正しいかどうかを証明するサービス認証を行うことで、安全性を確保する。ルートトラストを利用する取り組みは、メーカーだけでは動かない。サプライヤー、ディーラー、修理工場、流通やサービスの事業者までを含めた、川上から川下までの一気通貫の連携が必要になる。

ユビキタスの事業に直接関連するところでは、コネクテッドカーのシステムのソフトウエア開発をどのようにしたらいいかという課題がある。ソフト開発では、V字開発と呼ぶプロセスがある。設計したものが、実際に要求仕様に合致しているかを対になるプロセスで突き合わせて検証するものだ。コネクテッドカーのソフト開発では、設計に対するレビュー/試験の範囲が拡大する。これまでは機能要件に対してのレビューや試験を行っていたが、セキュリティ対策についても実装がきちんとできているかをV字開発のプロセスで検証することを推奨している。

こうしたソフト開発では、セキュリティに対しても多くの要件が含まれる。制御系の専用OSと情報系のOS、アクセス制御があり、その上のアプリケーションがコーディング規約を守っているか、ネットワークとして脆弱性を持っていないか、と多岐にわたる。これらのすべてのセキュリティ対策に応えられるベンダーはいない。通信、OS、プログラムはそれぞれ別のベンダーで、鍵の格納については組み込み系を得意とするユビキタスのようなベンダーを組み合わせて利用することになる。複数の企業が組んで自動車のセキュリティを守る時代が到来している。

各開発工程では、よりセキュアで脆弱性の少ないソフトウエア開発をするツールや、セキュリティに強いランタイムモジュールなどが有効に利用できる。こういったツールを使うことで、セキュリティ対策の個々の要件に開発や検証の時間をかけるのではなく、本来のセキュリティや自動運転などに力をかけてもらうことができると考えている。