Interview AUTOSAR-IDS

「継続的かつ多層的な車両防御」

将来的には、効果的な侵入検知システムにより、走行している車両のリスクを継続的に管理することが必要になります。AUTOSAR規格が果たす重要な役割とその限界について、侵入検知システム(IDS)のセキュリティアーキテクトであるMarcel Mulchと、AUTOSARセキュリティ担当プロジェクトマネージャでありAUTOSARコンソーシアムの代表者でもあるMichael Peter Schneider博士が説明します。

AUTOSARE/Eアーキテクチャのソフトウェア規格であることは承知していますが、車両のサイバーセキュリティにおけるこの規格の位置付けとは何でしょうか。

Michael Peter Schneider博士それは非常に明快です。AUTOSARとは、ETASなどの組み込みソフトウェアプロバイダがAUTOSARコンポーネントを自動車メーカーやサプライヤー向けに提供する際に実装すべき仕様を定義した規格です。車載アプリケーション向けの各種のAUTOSARコンポーネントには、複数のセキュリティモジュールが搭載されています。たとえば、SecOCはよく知られた標準プロトコルであり、AUTOSARコンソーシアムが開発したものです。これは、特に車両のオンボード通信の保護を目的としています。AUTOSARセキュリティコンポーネントは、暗号スタック、ID、アクセスの管理用のものなどを含め、数多く存在しています。

2020年の終わりから、侵入検知システム(IDS: Intrusion Detection System)を使用した車両の侵入検知を規定するAUTOSAR仕様も登場しました。どうしてIDSが必要で、それがなぜ今なのでしょうか。

「AUTOSARを使用すると、IDSコンポーネントを容易に統合することができます」

Marcel Mulch:新しい自動車サイバーセキュリティに関するUNECE規制が登場したのが主な理由です。将来的には、各メーカーは型式認定取得の際に、サイバー攻撃を検知し軽減できる機能を自社の車両フリートが備えていることを証明する必要が生じます。このような場合、車両ネットワーク通信を監視し、異常や侵入を検知する機能を備えたIDSが不可欠となります。車載ネットワークへの侵入を検知するセンサーが標準的にAUTOSARに準拠しているのはそのためです。IDSでは、いわゆるIDSマネージャーが、センサーによって検知された潜在的なセキュリティイベントを収集して事前にフィルタリングし、それらをバックエンドの車両セキュリティオペレーションセンター(VSOC: Vehicle Security Operation Center)に転送します。このシステムの大きな利点は、E/Eアーキテクチャに幅広く使用され、既に多くのECUに実装されているAUTOSAR規格をベースとしているため、さまざまなIDSコンポーネントを比較的容易にシステムに統合できることです。

AUTOSARに含まれているセキュリティモジュールだけで車両をサイバー攻撃から十分に保護することはできますか。

Schneider博士:実際には不十分です。AUTOSAR規格やそのセキュリティモジュールは、重要ではあるものの、全体における1つの側面に過ぎません。AUTOSAR準拠のECUを車両に組み込むだけでなく、テレマティクスユニット、インフォテインメントシステム、さらにはLinux、QNX、Androidなどのネイティブオペレーティングシステムを利用するビークルコンピューターといったマイクロプロセッサベースのシステムも必要です。また、複雑化が増す車両ネットワークに対応するうえでは、車載イーサネットもますます重要になっています。車載ネットワークへの侵入を検知するセンサーが標準的にAUTOSARに準拠しているのはそのためです。車載ネットワークへの侵入を検知するセンサーが標準的にAUTOSARに準拠しているのはそのためです。また、従来のECUでも、鍵データをセキュアに管理できるハードウェアセキュリティモジュール自動車固有の暗号ライブラリなどを利用して、AUTOSARの範囲外のITセキュリティをさらに向上させることが重要です。

「セキュリティ上の観点から重要なのは、特定のE/Eアーキテクチャがどのような攻撃ベクトルを持っており、それをどのように保護するかということだけです」

Mulch:同様に、UNECE規制では継続的なセキュリティ監視も求められており、AUTOSARで規定されたIDSコンポーネントは重要な要素となります。ただし、車両にAUTOSARだけを搭載すれば良いのではなく、すべての潜在的セキュリティイベントをバックエンドの車両セキュリティオペレーションセンター(VSOC)に報告することが可能なIDSレポーターも必要です。バックエンドでは、ソフトウェアを活用するとともに、セキュリティアナリストが疑わしい攻撃を調査して評価します。そのためには、セキュリティアップデートを管理するためのシステムが必要となります。これを使用すると、(AUTOSARのサポートにより)最終的にはセキュリティ上の欠陥を解消し、必要に応じてIDSセンサーを新しいリスク状況に合わせて調整できるようになります。つまり、セキュリティ上の観点から重要なのは、特定のE/Eアーキテクチャがどのような攻撃ベクトルを持っており、それをどのように保護するかということだけです。AUTOSARセキュリティモジュールで十分ならばそれで構いませんが、そうでなければ追加のセキュリティ対策を講じる必要が生じます。

将来に関してはどのようにお考えですか。E/Eアーキテクチャにおいて、AUTOSARが10年後にも変わらず担う役割とは何でしょうか。また、その頃に侵入検知システムが車両で果たす役割はどうなるのでしょうか。

Mulch:AUTOSARは10年後も、共通のソフトウェア規格として車両アーキテクチャの中心的な役割を果たしていると私は考えます。ただし、確実にAUTOSAR ClassicからAUTOSAR Adaptiveへと移行するでしょう。E/Eアーキテクチャは少数の強力な中核コンピューターに合わせて設計されるようになり、マイクロコントローラーの代わりにマイクロプロセッサが使用されるようになると考えられます。それはまさにAUTOSAR Adaptiveの設計意図に沿うものです。

Schneider博士:また、新たな規則や規制は、コネクテッド化と自動運転化がますます進むモビリティにとっていかにセキュリティが重要であるかということを示しています。私たちの安全を確保するためには、車両やフリートを継続的かつ多層的に保護する手法が必要になります。未来の車両では、車載IDSソリューションや車両セキュリティオペレーションセンターによってフリートを監視することが間違いなく標準となるでしょう。

SHARE THIS

言語:
ISO 9001:2015 Home