Intrusion Detection & Prevention Solution

IDPS: 車両とフリートの継続的保護

国連規制であるUN R155やUN R156が間もなく施行されます。施行後は、自動車メーカーは車両フリートを常にサイバー攻撃から保護することが義務付けられます。こうした継続的なリスク管理を行うには、侵入検知および防御ソリューション(IDPS: Intrusion Detection and Prevention Solution)が必要です。IDPSは、車両への攻撃を検出する侵入検知システム、フリート全体を監視する車両セキュリティオペレーションセンター、およびセキュリティ対応のソフトウェアアップデート管理システムで構成されています。

ネットワークIDSとホストベースIDS

侵入検知システム(IDS: intrusion detection systems)では、侵入を検知する車両のレベルに応じて、ネットワーク型のIDSまたはホスト型のIDSが使用されますが、これらにはそれぞれ異なるテクノロジーを用いたIDSセンサーが搭載されています。ネットワーク型IDSは、広範な対象向けのシステムであり、車両ネットワーク全体を保護する場合に理想的です。つまり、最大限のアクセス保護が必要となるECUなどには、このようなセンサーを柔軟に配置することが必要です。ただし、ネットワーク型IDSでは、オープンなインターフェースを介した攻撃を除けば、サイバー攻撃や不正操作を検出できるのは、攻撃対象のECUが既に不正アクセスを受けた時点となります。これに対し、一般的に個別のECUに実装されるホスト型IDSでは、保護対象はそのECUのみに限定されますが、ECUへの攻撃が起きたまさにその瞬間に攻撃を検出することができます。

ホストベース型IDSとネットワーク型IDSは二者択一の選択肢ではありません。つまり、最大限の効果を挙げるには、これらを組み合わせて使用することが重要です。IDSセンサーを選択する際の決定的な要素は常に、センサーを組み込む深度、センサーによるリソースの消費量、および車載ネットワークの品質や処理要件などがその車両のE/Eアーキテクチャ向けに最適化されているかどうかを見極めることです。また、自動車の通信規格専用に開発されたIDSセンサーを使用することが絶対に必要です。

車両の神経系として機能する分散型IDS

分散型IDSセンサーは、潜在的なサイバー攻撃、不正アクセス、および改ざんに対して、車両の神経系のシナプスのように機能します。ここでは、ネットワークトラフィックの異常や悪意のある診断要求など、潜在的なセキュリティイベント(Sev: Security Events)がログに記録され、IDSマネージャーに送信されます。ログファイル(適合セキュリティイベント、QSEv: Qualified Secuirty Events)が集約されると、IDSレポータ(IdsR: IDS Reporter)へと渡され、上流のバックエンドへと送られます。ここで重要なことは、IDSの3つのインスタンスのすべてで一貫性のある規則が使用されていることです。これは、IDSをシステムに最適に実装し、正確に脅威を検出し、効率的に運用するためには不可欠です。

distributed IDS

図1: 車両の分散型侵入検知システム(IDS)のコンポーネントおよびアーキテクチャ

また、可能な限り早期の段階でデータ量を削減することが重要です。データ転送時やバックエンドにおいて、帯域幅とリソースには限りがあります。そのため、まずはセキュリティイベントの誤検出や、関連性のないイベント、車両のノイズを除去することが必要です。そのためには、スマートIDSセンサーとIDSマネージャーを使用します。一方で、エンドツーエンドのセキュリティを効果的に確保するには、関連性のある情報を失わないことが必要です。データ量の最適化は、検出能力を犠牲にせずに行うことが重要です。

VSOC: フリート全体を監視する神経中枢

個々の車両において極めて重要なのは侵入の検知ですが、それと同様に、接続型の車両フリートにとってはバックエンドでのイベントデータの集約と処理が非常に重要です。これを行うには、車両セキュリティオペレーションセンター(VSOC: Vehicle Security Operations Center)を使用します。VSOCの重要な目的は、予防的なセキュリティ監視です。VSOCは、管理ループの神経中枢であり、脅威の監視、検出、解析、応答、および防御を行います。これは、連携する3つのコンポーネントで行います。

•   ソフトウェアプラットフォーム:データを集約して効果的に処理します

•   プロセス:セキュリティイベントの処理を保証および制御します

•   アナリスト(分析担当者):データを手作業で検査、評価、および処理します

自動車分野では、潜在的な脅威や解析対象のデータは従来のIT手法で対応していたものとは異なります。そのため、VSOCは自動車固有の使用事例に合わせて設計されています。VSOCの扱うデータには、車両のIDSログファイルだけでなく、自動車メーカーやフリートオペレーターからの入手が必要なフリートや車両のデータも含まれており、それらはテレマティクスシステムなどを通じて取得します。また、特に(スマートフォンのアプリなどの)バックエンドシステムを介して車両の機能を制御する場合は、車両のバックエンドITシステムからデータを入手して解析に組み込むこともできます。そのため、自動車固有のあらゆるデータは、VSOC独自の集約規則とデータロジックに従って処理する必要があります。

 Intrusion Detection & Prevention Solution

2: 侵入検知から車両セキュリティオペレーション(VSOC)に至るまでの環境

さらに、VSOCには分析担当者が必要です。彼らは、自動車分野の専門知識を有し、レポートや異常が悪意のある侵入によって発せられているのか、または許容可能な誤検出であるのかを専門的に評価することができます。VSOCを適切に導入するための鍵は、セキュリティシステムとこのような専門技術者を組み合わせて活用することです。これにより、専門技術者の知識をプラットフォームやプロセスに継続的に取り入れながら、それらを最適化できるようになります。

アップデートとSUMSによる対応

継続的なリスク管理におけるもう1つの重要な要素は対応です。ソフトウェアアップデートは、セキュリティ上の欠陥や特定された脆弱性を解消し、車両の「予防ステータス」、つまり適切な保護状態に回復させるための効果的な手段です。車両の接続性はワイヤレスインターフェースによって向上しているため、従来の工場でのアップデートをOver-the-Air(OTA)システムで補完したり置き換えたりすることも可能になりつつあります。これにより、必要に応じてアップデートの頻度を減少させ、コスト削減を図ることができます。

これらは必ずしもセキュリティに関連するアップデートだけではありません。自動車メーカーやフリートオペレーターはアップデートを使用することで、一般的な車両の機能を改善および拡張することもできます。ただし、アップデート自体への攻撃に対するセキュリティ保護は、引き続き極めて重要な側面であるため、適切な注意を払いつつ、UN R155および156の設計におけるセキュリティ要件に準拠し、近い将来に体系的に実装する必要があります。

また、将来的に定義済みのプロセスに基づいて、フリート向けのソフトウェアアップデートの準備と配布を体系的に行うためにソフトウェアアップデート管理システム(SUMS: Software Update Management System)が必要になります。SUMSは、特に自動車メーカーや認定当局に対する情報配信、型式認定に関連するソフトウェア変更の特定、変更のトレーサビリティ、アップデート対象システムに予想される相互依存関係、ソフトウェアアップデートの完全性と真正性、車両の機能安全、そして失敗したアップデートへの対応などを、UN R156に従って実現します。 

 Software Update Management System

3: ソフトウェアアップデート管理システム(SUMS)– ソフトウェアアップデートパッケージのセキュアな展開とインストールが可能になります

アップデート管理において、アップデートの完全性と真正性を保証することは最も重要なサイバーセキュリティ目標です。SUMSの目的は、改ざん、ECUの無効化、車両内部ネットワーク内の他のインスタスへの攻撃によるアップデートの仕組みの悪用を完全に阻止することです。そのため、ファームウェアの無線(FOTA: Firmware Over The Air)アップデートを行う際は、既存のオーサリングセキュリティプロセスだけでなく、バックエンドや車両内のセキュリティコンセプトにも従いながら、統合型ソフトウェアアップデート管理の一環として処理することが重要です。

SHARE THIS

言語:
ISO 9001:2015 Home