Security automated driving

自動運転:安全性とセキュリティの融合

自動運転に必要とされるテクノロジーは、もう手の届く範囲にあり、SAE Level 3の条件付き自動運転は高級車の機能として実現しつつあります。必要な法的枠組みが整備されれば、レベル4~5の完全自動化(自動車が大部分において自ら運転を実行するレベル)への飛躍は可能と考えられています。

ただし、機能安全が考慮されていない状態では、自動運転車両の先行きは不透明です。完全に自動化された自動運転車両を受け入れるには、人間よりも優れた判断を行いながら確実かつ完璧に動作するソフトウェアやデジタル技術を車載へ搭載することが条件となります。繰り返しますが、原則は「セキュリティなくして安全なし」なのです。結局のところ、車両の機能安全やそれに伴う道路利用者の安全は、車両や特にその安全関連システムを不正アクセスや不正操作からサイバーセキュリティ技術でどの程度保護できるかに依存します。つまり、自動運転には、車両の機能安全に応じて設計された包括的な自動車セキュリティを実現するためのアプローチが必要です。

安全な状態とセキュアな状態の関連付け

一般的に、安全関連のコンポーネントに重大な誤作動が起きた場合、車両は安全な状態に移行してそのドライバーと乗員や他の道路利用者を保護するように設計されています。言い換えれば、車両が停止状態に移行した後は、ドライバーが制御するか、または完全自動運転車両(レベル4および5)が交通状況に応じて自らを制御して停止します。

車両のコネクテッドカー化や自動化が進む中、サイバーセキュリティは機能安全にとっても極めて重要です。上記シナリオにおいて、サイバー攻撃が潜在的に存在または認識されている場合、車両が安全な状態に移行すると共に、車両システムもセキュアな状態に切り替わる必要があります。このためには、安全を脅かさない基本機能のみを実行する、またはセキュアにシャットダウンすることが必要です。これは、将来における重要な問題を提起します。つまり、関連システムへの不正アクセスが認識された場合に、いつ、どのようにしてセキュアな状態がトリガーされるのか、そしてこれが今度はどのようにして安全な状態を開始し、任意の運転状況で安全に車両を停止させるのかという問題です。自動化を推し進める場合、セキュリティと安全、そしてそれに伴いセキュアな状態と安全な状態が、共有された意思決定システムにおいて均等に重み付けされた状況になる必要があるということです。

Safe and secure state

図1:今後、サイバー攻撃が発生した際には、車両の内部ネットワークおよびシステムに定義されたセキュアな状態が、自動運転車両にとっての安全な状態をトリガーすることになります

多層防御

安全関連機能(ステアリング、ブレーキ、エンジン制御など)の不正操作から自動運転車両を効果的に保護するには、多層防御アプローチの一環として、車両のさまざまなレベルでセキュリティ対策を実装する必要があります。外部からの攻撃には、細心の注意を払う必要があります。接続性が向上するのとは対照的に、たとえば外部システムへの接続は専用のコンポーネントで行うなど、外部通信インターフェースの数は最小限に保つ必要があります。残りのインターフェースは、標準化された暗号アルゴリズムに基づいた通信プロトコルやアクセス保護メカニズムを用いて保護するか、または不正な要求を遮断する車載ファイアウォールなどによって保護します。また、自動運転車両の安全機能を外部インターフェースから完全に切り離すことも不可欠です。たとえば、各種のハードウェアコンポーネントやハイパーバイザを利用すれば、任意の車両コンポーネント内のシステム間を整然と仕切ることができます。起動時の定期検証(セキュアブート)やセキュアアップデートなどのさらなるセキュリティ対策も必要です。これにより、システムの真正性が保証され、攻撃からの保護を強化できます。さらに、ハードウェアセキュリティモジュール(HSM)によって信頼できる環境を構築し、そこで暗号化の際のセキュアな演算を実行することも重要です。

 Defense in depth

図2:「多層防御」は、マイクロコントローラからインフラストラクチャに至るまで、あらゆるレベルの車両アーキテクチャや通信にセキュリティ対策を行うことで実現します

セキュアオンボード通信では、侵入されたシステムを用いた不正操作を行えないようにするため、各バスシステムに合わせた個別の暗号プロトコルを利用しています。レベル3以上ではデータ量が増大します。そのため、自動運転車両には、車載イーサネットを使用したE/Eアーキテクチャの搭載がますます増えるでしょう。車載イーサネットでは、Transport Layer Security(TLS)やIPsecなどの実績あるプロトコルを使用しつつ、鍵交換という時間のかかるプロセスを事前共有鍵によって高速化するなど、リアルタイム要件を考慮しています。さらに、車載ファイアウォールやアクセス保護メカニズムでは、個々のサブネットワークや仮想LAN(VLAN)向けに定義された規則を適用することにより、電気系統においても安全関連機能へのアクセスを監視します。

走行中の車両の保護

多層型のセキュリティ対策を行っても、車両への不正アクセス(いわゆる「ゼロデイ脆弱性」によるものなど)を完全に排除することはできません。つまり、そのような攻撃を早期に認識し、その影響を軽減するための手段を講じることがますます重要となります。この場合は、車両内に分散されている攻撃検出システムである侵入検知システム(IDS)が有用です。車載IDSは今や実用化の準備が整っており、一部のAUTOSAR仕様にも対応しています。これらは、車両の内部ネットワークでの異常や(周期的メッセージや悪用された診断要求などに含まれる)典型的な攻撃シグネチャを特定し、それらをバックエンドと連携している車両セキュリティオペレーションセンター(VSOC)に通報します。

VSOCでは、接続されたフリート全体から収集したセキュリティイベントを継続的に評価、検証、解析することで、潜在的な脅威に対する適切な対策を導き出します。このプロセスでは、2つの段階が緊密に連携しています。つまり、新たに生じるITセキュリティイベントをSIEM(セキュリティインシデントおよびイベント管理)システムによって自動的に検査し、自動車セキュリティの専門アナリストが攻撃経路を解析し、脅威の検出手法を拡張することで、SIEMと車載IDSが将来の新しい脅威シナリオを自動的に登録します。これにより、無線(OTA:Over-the-Air)アップデートを通じて、利用されたアタックベクターを閉鎖し、IDS、ファイアウォール、およびその他のセキュリティアクセスメカニズムの規定をフリート全体でアップデートします。このように応答時間が短く継続的にセキュリティリスクを管理できる手法は、完全自動運転車両や接続されたフリート内の自動運転車両の場合においても、車両の機能安全や保有者の安全を保証するうえで大きな役割を果たします。

自動運転の成功要因はセキュリティ

自動車は今、転換点に来ています。私たちは今後、ドライバーの手に代わって、高度に接続された自動運転車両が運転を引き継ぐ様子をますます目の当たりにすることになるでしょう。自動運転システムの機能安全は最重要事項です。しかし、この基本的な条件は、セキュリティ対策によって自動運転システムに対する不正アクセスや不正操作を防止できない限り、満たすことはできません。つまり、自動運転のさらなる開発には、潜在的なサイバー攻撃を防止するための一貫した戦略が不可欠になります。

SHARE THIS

言語:
ISO 9001:2015 Home