Automated driving

自動運転: セキュリティなくして安全なし

自動運転システムは、運転の安全性と快適性を向上させるように設計されています。しかし、安全関連機能の相互接続が進み、新しい技術が車両に統合されるにつれ、ITセキュリティには新たな課題が生じています。車載通信にイーサネットを使用すればペイロードや転送速度が大幅に向上し、強力なマイクロプロセッサを統合すればパフォーマンスが向上します。ただし、これらはいずれも従来のIT社会でよく知られている技術であり、ハッカーにとっては馴染みのある攻撃対象です。つまり、そのような技術を車両の、特に安全関連機能に使用する場合には、既知の攻撃パターンだけでなく新しい攻撃タイプにも対抗できる適切なセキュリティ対策が必要となります。

保護対象という観点からは、自動運転車両のE/Eアーキテクチャは従来のIT環境とは大きく異なっています。つまり、ここでの最優先事項は人的被害を防止し機械的損傷を抑止することとなります。そのため、絶対的な優先項目は、ネットワークトラフィックの真正性、および接続されたシステムの可用性ということになります。さらには、特に自動運転システムで個人を関連付けることができるデータを使用する場合、プライバシーの尊重の観点から、データ保護法も考慮しなければなりません。そのため、自動運転では車内外のネットワーク間を明確に分離し、さらには外部システムとの接続もセキュアに行う必要があります。それと同時に、セキュリティ、安全性、および信頼性の高い短時間での応答といった特別な要件を常に考慮しながら、イーサネットや従来の車載バスを使用した車載通信をE/Eアーキテクチャにセキュアに実装することが必要です。

最新のE/Eアーキテクチャにおけるセキュリティ対策

リアルタイムでやり取りされるセキュリティ関連コンポーネントのネットワークトラフィックは、他のシステムよりも優先させ、隔離する必要があります。この場合、既存のドメインを仮想ネットワーク(VLAN)に基づいて使用すると、その保護の必要性に応じて仮想領域を分割することができます。たとえば、コンポーネントの誤動作やサービス不能攻撃により、ネットワークがパケットであふれた場合は、帯域制限を適用して近隣のスイッチでこのトラフィックを制限することにより、優先するVLANでの通信が続行され、車両の安全な動作が保証されます。

ファイアウォールは、E/Eアーキテクチャや車載通信の保護に利用できるもう1つの機能であり、フィルタの適用により、やり取りするデータを異なるネットワーク間または終点間で制御します。また、最新の車載ファイアウォールでは、ディープパケットインスペクションを使用して、ユーザーデータレベルに至るまでの通信を分析および評価することができます。これを使用して侵入検知システム(IDS: Intrusion Detection Systems)や侵入防御システム(IPS: Intrusion Prevention Systems)を実装すると、ネットワーク内の不正なデータトラフィックを検出および阻止することが可能です。

ただし、ネットワークトラフィックを論理的に切り離す技術は、暗号化認証または暗号化の代替手段となるものではなく、ネットワークを不正アクセスから保護する手段としては単体では不十分です。一方で、AUTOSARにはセキュアオンボード通信(SecOC)と呼ばれる、こうした場合に役立つソフトウェアモジュールがあります。また、(データグラム)トランスポートレイヤーセキュリティ((D)TLS)、IPsec、MACsec(IEEE 802.1AE)といった従来のイーサネットセキュリティメカニズムを応用すれば、車載イーサネット通信の改ざんに対する最小限の保護を提供することが可能です。

自動運転に対応したセキュアなE/Eアーキテクチャの設計

E/Eアーキテクチャの設計においては、確立されたセキュリティ対策をどのように効率的かつセキュアに統合するかを検討することが重要です。不正アクセスからの保護を実現し、安全関連の通信を分離する場合は、次の4つのポイントに基づいて検討を行う必要があります。

  1. 安全との関連性に応じたゾーン分け

ATZextra Security Measures

セキュアなE/Eアーキテクチャの基礎となるのは、車両のネットワークをその安全との関連性に応じて、明確に定義された方法で(ドメイン、VLAN、IPサブネットなどの)個別のゾーンに分類および分離することです。それだけでなく、外部インターフェースを備えた専用ECUの数を最小化する必要もあります。これら2つのパラメータ(安全関連の通信の分離および外部インターフェース数の最小化)やE/Eアーキテクチャ内で分類された安全性およびセキュリティに基づいた場合、ECUを図2のように特定のゾーンに割り当てることが可能です。

  1. ネットワーク通信の監視と制御

ファイアウォールやID(P)Sを使用して、ドメインまたはVLAN間で適正な許可されたデータのみがやり取りされるようにします。これにより、複数のネットワーク層でさまざまなイーサネットプロトコルも考慮しつつ、既に実用化されている車載ソリューションを使用して従来の車載バス通信を効率的に制御および解析できるようになります。この方法では、イーサネットスイッチのハードウェアメカニズムを最適に利用すると、さらに上位のプロトコル層もリアルタイムで解析できます。

  1. イーサネットスイッチの保護

E/EアーキテクチャやECUにイーサネットスイッチを使用するようになったのは、比較的最近のことです。そのため、ファイアウォールやID(P)Sなどのセキュリティ対策を用いる際は、スイッチを外部の操作から保護することがますます重要になります。また、イーサネットスイッチのプログラミングやセキュアブートを行う場合は、VLAN設定の改ざんやファイアウォールルールの不正な変更などを防御するため、完全性や真正性を検証しなければなりません。さらに、スイッチを個別に設定することも必要になります。

     4. セキュアなデータ転送の保証

ATZextra Security Measures

従来のバスシステムでは、保護すべきメッセージの改ざんを防止するためにSecOCを使用していますが、ここではデータトラフィックの暗号化は想定されていません。SecOCとは異なり、イーサネットベースのセキュリティプロトコル((D)TLS、IPsec、MACsecなど)では、データの真正性や完全性だけでなく、データの機密性も保証することができます。これらのプロトコルはネットワークの下位層で機能するため、(ユーザーデータグラムプロトコル[UDP]などの)イーサネットを介した信号ベースの通信や、自動運転で使用されるサービスベースの通信(SOME/IPなど)の両方を保護することができます。車両にはリアルタイム性に関する厳しい要件があるため、この場合には事前共有鍵を使用して、極めて高速かつ対称的な手続きを実装する必要があります。

セキュアなE/Eアーキテクチャの開発および設計は、自動運転のまさに基礎を成す要素です。そして、車載ネットワークシステムにおけるデータや機能の真正性、完全性、および機密性を常に保証するためには、専門的かつ適切なセキュリティソリューションが必要となります。このような観点から、自動運転に関して確実なことが1つあります。それは、安全性を求めるならば、最初からセキュリティに注意を払う必要があるということです。

SHARE THIS

Language:
ISO 9001:2015 Home