AUTOSAR-VRTE

AUTOSAR Adaptive: サイバーセキュリティが要素の1つに

スマートコネクテッドカーの実現までの道程には、AUTOSAR Adaptiveが必要です。将来のE/Eアーキテクチャーに統合できるセキュリティ機能を既に実装しているこの規格を使用すると、サイバー攻撃に対して信頼性に優れた保護を提供することができます。

AUTOSAR Adaptiveは、新しいE/Eアーキテクチャーの枠組みを示すものです。高度に自動化されたスマートカーでは、高性能なドメインコントローラー(DCU)やビークルコンピューター(VC)が制御を行います。この場合、リアルタイムで高いデータ負荷が掛かるため、強力なセキュリティメカニズムが必要となります。これに対応するため、AUTOSAR Adaptiveではこれまで幅広いセキュリティ機能を統合してきました(図1)。

 

AUTOSAR Adaptiveのセキュリティモジュール

  • AUTOSAR Adaptiveでは、暗号スタック(暗号API)により、対象を定めて暗号プリミティブ、鍵、および証明書の準備を行います。アプリケーションは、暗号化の実装に関係なく、暗号スタックが提供するインターフェースのみにアクセスするため、さまざまなECUへの移植性が向上します。
  • AUTOSAR Adaptiveでは、TLSおよびIPSecを使用してセキュアな通信を実現しています。いずれのプロトコルでも、車両内だけでなく、OEMメーカーのバックエンドといった外部インスタンスともセキュアな接続を簡単に確立できます。さらに、2020年末以降、AUTOSAR Adaptiveに固有のSecOC(セキュアオンボード通信)のプロトコルが仕様に統合されます。
  • AUTOSAR Identity and Access Managementモジュールを使用すると、許可されたアプリケーションのみに特定の重要リソース(不揮発性メモリの機密データ、通信チャンネル、暗号鍵など)へのアクセス権を付与できるようになります。AUTOSAR Adaptiveでは、これらのアクセス権を必要に応じて設定でき、いつでも更新することが可能です。

 

AUTOSAR building blocks

図1:AUTOSAR Adaptiveの中心的なセキュリティコンポーネント

  • 車両のライフサイクルを通じて効果的にセキュリティを管理するうえで重要な要素となるのは、車両への攻撃を検出し、バックエンドに報告する侵入検知システム(IDS)です。そのため、分散型IDSの極めて重要な制御ポイントとして機能するIDSマネージャー(IdsM)が最新機能としてAUTOSARに統合される見込みです。
  • AUTOSAR Adaptiveのセキュアアップデート機能では、個々のアプリケーションやプラットフォーム全体のセキュリティアップデートを受信して処理し、特定されたあらゆる脆弱性を修正します。アップデートブロブは個別にバックエンドで署名されるため、信頼できるソースのアップデートのみが実行されます。
  • また、ECU、DCU、およびVCアプリケーションを定期的に検証することも必要です。AUTOSARでは、このタスクをセキュアブートまたはトラステッドプラットフォーム機能のいずれかによって実行します。トラステッドプラットフォーム機能は、トラストアンカーとしてすべてのアプリケーションおよびプラットフォーム自体を検証します。これにより、信頼できるソフトウェアのみが実行されるようになります。

 

RTA-VRTE:AUTOSAR Adaptiveのプラットフォームソフトウェアフレームワーク

今後のAUTOSAR Adaptiveユーザーは、今から新しいアーキテクチャーに習熟する必要があります。セキュリティ機能だけでなくAUTOSAR Adaptiveに準拠した他のあらゆるプロセスも統合および実装する場合は、リアルタイムアプリケーション車両ランタイム環境、通称RTA-VRTEとして知られるプラットフォームソフトウェアフレームワークが理想的な基盤となります。RTA-VRTEには、マイクロプロセッサベースのビークルコンピュータ向けの重要なミドルウェア要素のすべてを備えています。プラットフォームソフトウェアフレームワークを使用すると、バーチャルECUの機能を従来のデスクトップPC上でシミュレートし、イーサネット経由でネットワーク化することができます。RTA-VRTEでは、ベーシックソフトウェアアーキテクチャーの4つのレイヤーと、車両固有のプラットフォームサービスを含む第5レイヤーで構成された仮想マシンが作成されます。

VRTE layers

図2:RTA-VRTEレイヤーモデルは、重要なソフトウェア機能と5つのレベルに関する要件をサポートしています。

レベル1および2には、使用されるハードウェアのインフラストラクチャーソフトウェア(デバイスドライバなど)とPOSIX準拠のオペレーティングシステムが含まれています。また、レベル2では、AUTOSAR Adaptive仕様に由来するプラットフォーム固有の要素も提供されており、実行管理のための重要な要素となっています。これにより、動的に割り当てられたアプリケーションを管理し、適切な起動および終了を保証し、割り当てられたリソースや実行の限度を監視します。このように、実行管理はITセキュリティにおける重要な機能であり、これにより信頼できるプラットフォームが提供され、Adaptiveアプリケーションの完全性および真正性が検証されます。

 

スタートアップエイドとしてのEarly Access Program

また、動的で柔軟なAdaptiveアプリケーションやその他のソフトウェアアプリケーションをシステムに統合するには、レベル3の通信ミドルウェアが必要となります。通信管理は、RTA-VRTEの中核的要素として、レベル間の連携を管理し、レベル4および5のECU依存および車両依存のプラットフォームサービスを含むカプセル化されたソフトウェアがスムーズに動作するようにします。この機能は、認証されたアプリケーションによって提供されるサービス間のエンドツーエンドの通信を保護するうえでも極めて重要であり、サイバーセキュリティの要です。

RTA-VRTEは2020年に、世界中のAUTOSAR Adaptive車両プラットフォームの量産化を目指すプロジェクトにおいて使用が開始されました。ETASおよびESCRYPTは、AUTOSAR Adaptiveによって現在使用されている各種のセキュリティコンポーネントを将来の車両アーキテクチャーでも使用できるようにする取り組みを行うと同時に、Early Access Program(EAP)の提供により、OEMメーカーやサプライヤーが次世代型ハイブリッドE/Eアーキテクチャーの開発手法を適切に構築できるようサポートしています。

SHARE THIS

言語:
ISO 9001:2015 Home