東京モーターショー シンポジウム2017では、セキュアIoTプラットフォーム協議会が主催した「安心・安全につながる車社会の実現を目指して ～コネクテッドカーのセキュリティを考える～」シンポジウムが開催された。ネットワーク機器やセキュリティ製品の開発・販売を手がけるソリトンシステムズと、インターネットITS協議会（IIC）セキュリティワーキンググループの講演では、既存車を安全にコネクテッドカーに仕立て上げるための手法について説明があった。登壇したのはソリトンシステムズ 取締役副社長 CISOで、IICのセキュリティワーキンググループ（WG）の主査を務める遊佐 洋氏（写真右）と、同WGメンバーのソリトンシステムズ ITセキュリティ事業部 クラウドサービス技術部部長の正木淳雄氏（写真左）である。

コネクテッドカーをビジネスのインフラとして利用できるようにするには、どうしたら良いか。どのようにすでに使われている「既存車」を安全な形でコネクテッドカーに仕立て上げるか。コネクテッドカービジネスを拡大するには、そうした課題が大きく横たわっている。

インターネットITS協議会（IIC）は、自動車と情報社会の融合を目指して2002年設立した団体だ。トヨタ、デンソー、NECが発起人となって設立され、2017年11月時点では89社・団体が加盟している。ソリトンシステムズは、自社独自のセキュリティプラットフォームの開発と並行して、IICのセキュリティワーキンググループを取りまとめる活動も行っている。そうした両面の視点からコネクテッドカーのセキュリティに対するこれまでの知見を説明したい。

国内を走るすべての自動車がコネクテッドカーになれば、コネクテッドカーをインフラとしたビジネスは成立しやすくなる。しかし、自動車メーカーはこれから販売する「新車」のコネクテッドカー化は推進するが、販売済みの「既存車」への対応は消極的だ。国内の自動車の販売状況を確認してみよう。2017年に日本で保有されている自動車はおよそ7770万台に上る。乗用車や貨物車、普通車から軽自動車まで含めた数字だ。そのうち新車に置き換わっているのは、年間わずか450万〜500万台で、これは総保有台数の約6％に過ぎない。国内の自動車が半分入れ替わるのに、7～8年はかかる計算だ。新車がコネクテッドカーになっていったとしても、国内の自動車の半分がコネクテッドカーになるまでに7～8年、大部分が入れ替わるには10年以上の時間が必要となる。コネクテッドカーをビジネスのインフラにするには、時間がかかりすぎる。

そこで、すでに走っている自動車である既存車をコネクテッドカーに仕立てる方法が求められる。それも、自動車そのものには手を入れず、外付けの装置を取り付けるだけでコネクテッドカーとしての機能を備える方法が必要だ。外付けの装置で、セキュリティを確保したコネクテッドカーを作るにはどうした対策が必要か。IICのセキュリティWGとソリトンではその方策について検討してきた。

ITの手法でセキュリティを検討すべき

外付けの装置を使って既存車をコネクテッドカーに仕立て上げる方法として、IICとソリトンは「セキュリティプラットフォーム」を仲介した3者モデルを想定した。コネクテッドカー化を実現する外付けの装置として、「車載ゲートウエイ」を取り付けた自動車と、テレマティクスや安全運転支援、インフォテイメントなどの情報提供をするサービス提供事業者の間に、中立のサービスプロバイダーとしてのセキュリティプラットフォームを介在させるモデルである。こうすることによって、既存車のコネクテッドカー化の手法が標準化でき、自動車メーカーやサービス提供事業者などに依存せず、共通したサービスとセキュリティ対策を提供できるとの考えである。

IICのセキュリティワーキンググループでは、3者モデルの中核となるセキュリティプラットフォームを、架空の「IICプラットフォーム」として想定し、セキュリティ対策を検証した。そこで改めてわかったことは、いままである自動車は、セキュリティについての検討が不足しているということ。安全のためのセーフティについては多くの対策がなされているが、IT面でのセキュリティ対策としてはIT企業だったら常識と言えることが行われていなかったりする。ジープチェロキーがハッキングされた事例でも、ITセキュリティの側面から見るとテレマティクスの出入口で1つの対策を施しておけばトラブルは防ぐことができたのである。

IICプラットフォームを介在させるコネクテッドカー化について、IICとソリトンでは、架空のIICプラットフォームを使って、車載ゲートウエイを搭載した自動車が動き出すところから通信を初めて実際にサービスのサーバーとやり取りをするところまで、ポイントを1つひとつ辿っていく手法で、セキュリティの課題を探し出していった。

セキュリティの分析で見えてきた2つの限界

車載ゲートウエイを自動車に外付けし、自動車とインターフェースを取りながらコネクテッドカーの機能を実現するには、どのようなモデルでコネクテッドカーを実現するかも重要な課題だ。IICのセキュリティWGでは、大きく3つのモデルを定義し、それぞれについてセキュリティ対策の検討を行った。モデルは（1）車載ゲートウエイに搭載したセンサーの情報を活用、（2）ODB IIコネクター経由で車載ネットワークのCAN（Controller Area Network）データを活用、（3）車載カメラの情報を車載ゲートウエイやスマートフォンなどを介してリアルタイムでサービス提供事業者が活用――である。

実際にコネクテッドカーのユースケースは多様だ。センサーやODB IIで取得したプローブ情報を収集するだけでなく、リアルタイムの映像を送り続けることで遠隔自動運転機能を提供することまで、検討の範疇に含まれる。それだけに、セキュリティ面での脆弱性をIICプラットフォームのユースケースに残すことはできない。自動車の定義については情報処理推進機構（IPA）の「自動車の情報セキュリティへの取組みガイド」で規定された「IPAカー」に従い、センサー機器、ゲートウエイ、通信経路、プラットフォームの4つのコンポーネントについてセキュリティ要件を分析した。

こうした検討の結果を、IICのセキュリティWGでは、2016年10月に「既存車向けConnected Car活用事業創出のための システム標準モデルとそのセキュリティ基本対策」としてまとめた。ここまででわかったことを総括すると、1つは「ITセキュリティの手法で、徹底的にセキュリティ対策を施せば、既存車のコネクテッドカー化のセキュリティはほとんど確保できる」ということ。もう1つは、「外付けの車載ゲートウエイを使った架空のモデルでは、セキュリティ対策の施せない2つのポイントがあると突き止めた」ことだ。その2つとは、「既存車を改造しない外付け機器を使う前提では、ECU（Electronic Control Unit）やCANと接続するデータのやり取り制限があること」と「サイバー攻撃の手法が多様化する中で、架空のモデルではなく実車がないと検討ができない部分があること」である。

逆に言えば、これらの2つの限界を除いた部分では、外付け車載ゲートウエイを使ったコネクテッドカー化におけるセキュリティ対策は、ITの手法で十分に対応できるということが明らかになった。脆弱性に注意しなければいけないポイント、対策を打たなければいけないポイントが明確になってきたことで、プラットフォームで対応できる範囲も同時に明確になってきたと言える。

将来的には、自動車自身がさらに賢くなって、自動車メーカーから新しい機能を備えた自動車が次々に登場するだろう。しかし、レンタカーやカーシェア、バスやトラックなどの商用車など、コネクテッドカー化することで様々な新しいサービスが活用できる場面は、今すぐにも実現する可能性が高い。そうしたときに、専用の通信機能を備えた新しい電気自動車を購入するのではなく、既存の車に車載ゲートウエイを取り付けるだけで新しいサービスを利用できれば、多くのビジネスチャンスがすぐに低いコストで具体化できる。コネクテッドカーを新しいビジネスのインフラとするために、既存車をセキュアにコネクテッドカー化する手法はこれから10年、15年といった期間に重要なビジネスの解になると考えている。

※修正履歴［2018/1/29 15:08］
初出時、登壇者の肩書きに間違いがあり、正しい肩書きに修正しました。