security lifecycle management

AUTOSARによるセキュリティライフサイクル管理

モビリティのデジタル変革が進む中、コネクテッドカー向けのサイバーセキュリティは最も重要な要素となっています。このことは、特に2つの事象の進展によって明確になりつつあります。その2つとは、自動車サイバーセキュリティとソフトウェアアップデートに関する拘束力のある国連規制、もう1つはAUTOSARの新たなセキュリティ仕様です。

これらは、特に実際に使用されている車両のリスクを継続的に管理するという点で非常に密接なつながりを持っています。結論としては、国連規制が適切なレベルの自動車用ITセキュリティを実現し維持できる認証済みのサイバーセキュリティ管理システム(CSMS)を要求しているのに対して、技術面での最適解がAUTOSARだということです。このように、AUTOSARは型式認定に関連する新たなセキュリティ要件を実装するための基盤となります。

UNECE規制:4つの分野

UNECE WP.29は、2020年に採択された規則で4つの規制分野を挙げています:

  • 車両へのサイバーリスクを管理
  • 車両向けの「セキュリティ・バイ・デザイン」により、バリューチェーンに沿ってリスクを軽減
  • 車両フリート間でのセキュリティインシデントの検知と対応
  • 無線アップデートに関する法規制を含む安全かつセキュアな車載ソフトウェアのアップデート

今後は、自動車業界の規制でITセキュリティ管理の体系化に向けたプロセスアプローチが規定されます。第1の規制分野である車両へのサイバーリスクの管理(CSMS)は、組織における中心的なタスクであることを考慮することが特に重要です。ここでは、企業やプロセスのレベルで、他の「下位」の分野である、設計によるセキュリティ、路上における車両フリートのリスク管理、および無線セキュリティアップデートの方向性を「上位」の行動原則として示す必要があります。また、これら「下位」の分野においては、効果的なサイバーセキュリティ管理システム(CSMS)を組み合わせることが必要です。

侵入検知とソフトウェアアップデート

上述の規制分野は、組織の枠組みやプロセスにしっかりと定着していることも重要ですが、それだけでなく、テクノロジーベースであることも必要です。車両のE/Eアーキテクチャには、使用中の車両や無線アップデートに対するリスクを管理できるセキュリティコンポーネントが実装されていなければなりません。そのため、車両の内部ネットワークは、実質的にセキュリティライフサイクル管理システムであるCSMSの起点および終点として機能します。侵入検知システム(IDS: Intrusion detection System)などを利用して、初期段階で攻撃を検出できるようにすることが、本質的な側面の1つです。また、ソフトウェアアップデートなど、車両に適切な対策を講じることにより、脅威を特定して軽減することも必要です。重要なセキュリティ基盤の確立をAUTOSARがサポートします。第1に、AUTOSARはこれらのいずれのユースケースにも標準化されたモジュールを提供しているため、OEMメーカーは直接これらのモジュールを使用することができます。第2に、AUTOSAR規格が広く利用されると、これらの機能を迅速かつ効果的に多数のECUに展開できるようになります。

AUTOSARによる分散型侵入検知システム

IDSの主な役割は、車両への攻撃を特定してバックエンドの車両セキュリティオペレーションセンター(VSOC)に報告し、適切な対策を講じられるようにすることです。この役割を果たすため、分散化型の車載IDSはIDSセンサー、IDSマネージャー(IdsM)、およびIDSレポーター(IdsR)という複数のコンポーネントで構成されます。

Distributed IDS

図1:分散化した車載IDSによる攻撃の検出

 

IDSセンサーは、ECUの関連リソース(ネットワークトラフィックやメモリアクセスなど)を監視し、セキュリティイベントとして知られる不審な活動(異常や典型的な攻撃シグネチャなど)があった場合に警告通知を生成します。さらに、ゲートウェイECUのスマートIDSセンサーは、CANデータのあらゆるトラフィックに加え、必要に応じてイーサネット通信も監視することができます。そのため、より複雑な攻撃を検出したり、誤って検出されたセキュリティイベントを特定してフィルタで除外したりすることが可能です。一方、ECUやゲートウェイで分散化されたIDSマネージャー(IdsM)では、各自に割り当てられたローカルセンサーからセキュリティイベントを収集し、無関係のイベントやノイズを除去してバスの負荷を最小限に抑えつつ、情報をテレマティクスユニットのIDSレポーター(IdsR)に受け渡します。さらに、予備解析を行ってVSOCに情報を送信します。

このような分散型の侵入検知システムでは、IdsMが車両の内部ネットワークでECUレベルの情報収集役として複数の役割を果たす必要があるため、AUTOSARが確実に有利となります。つまり、AUTOSARに直接IdsMを統合するのが合理的だと言えます。そのような理由から、AUTOSARの最新リリースR20-11では、IdsMを用いた分散型侵入検知システムで車両への攻撃を検出する仕様に初めて対応しました。

無線でのファームウェアアップデート(FOTA)

次に、AUTOSARのセキュアアップデート機能では、個々のアプリケーションやプラットフォーム全体のセキュリティアップデートを受信して処理し、特定されたあらゆる弱点やアタックベクターを解消できるようにしています。アップデートブロブは個別にバックエンドで署名されるため、信頼できるソースのアップデートのみが実行されます。このアップデートパッケージは、車両のUCMマスターモジュールによって処理されます。UCMマスターモジュールはAdaptive AUTOSARのインスタンスで動作しますが、まずアップデートパッケージの署名を確認してから、さまざまなソフトウェアアップデートを車両内のターゲットに配布します。

 FOTA in AUTOSAR

2AUTOSARの無線ファームウェアアップデート(FOTA)用モジュール

 

ただし、個々のECUをアップデートする前に、さらにセキュリティチェックを行う必要があります。このセキュリティチェックは、ソフトウェアアップデートの真正性を検証し、インポートしたソフトウェアがセキュリティ上の欠陥を含む可能性のある旧バージョンではないことを確認するために行います。AUTOSAR Adaptiveでは、UCMクライアントがそのようなチェックを実行します。AUTOSAR Classicの場合は、FOTAに対応する同等のUCMクライアントモジュールが現在も仕様全体に含まれています。

まとめ:セキュリティソリューションの一部としてのAUTOSAR

UNECE規制に準拠した車両のセキュリティ管理には、侵入検知システム(IDS)および無線でのファームウェアアップデート(FOTA)が不可欠となります。AUTOSARはここで必要となる規格であり、適切なIDSおよびFOTAモジュールを提供し、車両に求められるセキュリティ条件を満たすことが可能です。これらのモジュールは、侵入検知やソフトウェアアップデートに必要なコンポーネントをE/Eアーキテクチャ内の大半のECUに提供できます。つまり、結論は明らかです。AUTOSARは、UNECE規制に準拠したサイバーセキュリティ管理を実現するための重要なソリューションの一部なのです。

SHARE THIS

言語:
ISO 9001:2015 Home