Securiyt Monitoring

セキュリティ監視:フリートの監視

サイバー攻撃に対する保護レベルを開発中にいかに高く構築できたとしても、車両のライフサイクル期間に保護レベルが低下するのを避けることはできません。そのため、将来的に車両や車両フリートには、既知のリスクや攻撃ベクターを管理しつつ、新しいリスクも特定、軽減できるアクティブな現在進行型のセキュリティ手法が必要になります。特に、UN規則R155が施行されると、車両ライフサイクル全体を通じて適切なリスク管理を提供していることを証明しなければ、型式認定を得られなくなります。

脅威の状況を包括的に把握するためには、さまざまなレベルで複数の領域を検証し、対策を講じる必要があります。その場合の重要な要素は2つあります。1つ目は組み込み型の車載攻撃検出システムである侵入検知システム(IDS)、2つ目は攻撃に関する情報を集約および評価して攻撃をフリート全体に拡大させないようにするためのバックエンドの車両セキュリティオペレーションセンター(VSOC)です。

車載侵入検知システム

真に効果的なセキュリティ監視を実現するには、攻撃検知手法を分散したシステムの深部に組み込むことが必要になります。特に、特定の車両への局地的な攻撃を検出するためには、個々の車両のE/Eアーキテクチャに侵入センサーを統合することが不可欠です。つまり、E/Eアーキテクチャにどのような潜在的な脆弱性が存在するかを車両の開発段階から検証すること、および、そこで得られた知見を車両の内部ネットワークにある分散侵入検知システム(IDS)の監視コンセプトに一貫性を持って統合することの2つのタスクが重要になります。

IDSセンサーは、このようなIDSの中核的なコンポーネントです。IDSセンサーは、ECUのデータトラフィックとシステムの挙動を監視し、それらを自動車メーカーが指定する「正常な挙動」と比較します。疑わしい活動(反復的メッセージでの異常や悪用目的の診断リクエストなど)が発生すると、IDSセンサーはセキュリティイベントとしてログに記録します。高性能なIDSセンサーを(ゲートウェイ内など)に注意深く配置すれば、すべてのCANデータトラフィックを監視したり、Ethernetスイッチに組み込まれた車載ファイアウォール/IDSソリューションを介してすべてのEthernet通信を追跡したりできるようになります。このような手法を用いると、非常に複雑な攻撃でも検出でき、セキュリティイベントの誤検出も除外できます。

 Distributed IDS

図1:IDSセンサーからIDSマネージャーやIDSレポーターに至るまで、車両内で分散した侵入検知システム

重要なのは、個々のIDSセンサーから確実に情報を収集し、車両内の初期解析を経てデータを実行し、さらにはデータを最適化してバックエンドの車両セキュリティオペレーションセンター(VSOC)に送信することです。このタスクは、ECUで分散化したIDSマネージャー(IdsM)が実行し、各自に割り当てられたIDSセンサーからセキュリティイベントを収集し、無関係のイベントやノイズを除去して、整理された情報をテレマティクスユニットのIDSレポーター(IdsR)に受け渡します。IdsRには、車両からのすべてのセキュリティイベントが集められ、その他の予備的な分析が行われた後でVSOCに送信されます。

VSOC: バックエンドにおけるインテリジェンス

車両セキュリティオペレーションセンター(VSOC)には、車載IDSでの通信時に(コネクテッドカーのエコシステムからITセキュリティに関連するその他のデータを含む)フリート全体のセキュリティイベントを連続的に評価し、特定の異常に関するイベントとデータの妥当性を確認し、緊急の脅威や潜在的な脅威を分析し、適切な対応策を導き出す、という4つのタスクがあります。VSOCでは、これらのタスクを実行するために、相互補完的に連携する2つのインスタンスを利用します。2つのインスタンスとは、セキュリティインシデントやイベント管理システム(SIEM)によって自動的に行われる分析と、車載セキュリティの専門アナリストが個々のインシデントについて行う詳細なレビューを指します。

最初に、SIEMは自動車メーカーのバックエンドに報告されるすべてのセキュリティイベントを収集し、それらを自動的にリアルタイムで調査および分析します。そのため、最新のSIEMソリューションでは、機械学習機能を使用して独自のモデルを開発できるようになっています。SIEMはダッシュボードとセキュリティレポートを使用して、現在のリスク状況を直ちに表示します。ただし、SIEMソリューションは新しい未知の侵入シナリオの検出には適していません。特に車両プラットフォーム向けに特別に開発されたコンポーネントを含む車載セキュリティ環境では、SIEMに直接接続することができる標準的な脆弱性管理ソリューションは存在しません。

そのため、SIEMソリューションをVSOCに技術的に実装して、専門的な技術的機能やコンテンツ関連の機能を補完することが重要になります。これには脅威インテリジェンスソリューションを統合することも含まれます。このソリューションでは、独自のデータベースを用いて侵入や攻撃に関する新しい指標を検出し、その結果を他の(V)SOCオペレーターと共有します。ただし、VSOCで何よりも重要なのは、高度な専門性を持つ車載セキュリティの専門家です。彼らは攻撃経路を解析し、脅威の検出手法を拡張することで、SIEMおよびIDSセンサーが将来的に新しい脅威シナリオを自動的に登録したり、そのような攻撃がフリートに存在していないかを遡及的にチェックしたりできるようにします。VSOCでは、フリートオペレーターが適切な対応策を開発したり公開したりするための実用的な情報を提供できるよう、自動的な分析と人間の専門家の技術を組み合わせて活用しています。

 Security Monitoring

図2:車両のセキュリティ監視からバックエンドの車両セキュリティオペレーションセンターに至るまで、連続的にセキュリティを監視

車両コンポーネントとVSOCの調整

現在進行中のリスクを最小化するには、車両の分散型侵入検知システムを活用し、VSOCでインシデントを徹底的に評価することが必要です。ただし、コネクテッドカーから得られたデータを処理する際には、固有の課題も発生します。また、今日の車両におけるデータの通信量とコストを考えた場合、VSOCで実際に必要とされている評価用データを見定めることが重要になります。このような場合、車両でデータの前処理と集約を行っておけば、ボリュームをかなり減らすことができます。これは、将来的にVSOCが何百万台もの車両からデータを収集することになった場合にも適したアプローチと言えます。

さらに、典型的な脅威シナリオや車両アーキテクチャと、そこで使用されるコンポーネントごとに固有の知識が必要であることを考慮した場合、VSOCでは自動車に特化した手法でデータの拡充を図ることが重要です。また、SIEMにおいてデータとイベントの準備やグループ化を自動的に行い、アナリストが重点的かつ効率的な方法でそれらを処理できるようにすることも重要です。これは理想的には、何百万台もの車両のフィールドデータから得られる知見を車載セキュリティエキスパートが作成したルールに従って継続的に「エンコード」できるようにすることを意味します。これが実現すると、特に「虚偽の報告」を最適に分類できるようになり、システムでのインシデントの検出率が確実に向上します。

新しい規制では、自動車メーカーとフリートオペレーターは車両のライフサイクル全体を通じてサイバー攻撃から車両フリートを保護する必要があります。IDSコンポーネントを使用すれば、車両への侵入を検知するための効果的なソリューションを提供することができます。また、その際の相互運用性はAUTOSARなどによる標準化を通じて保証されます。さらに、VSOCを使用すると検出された攻撃を分析し、適切な対策を講じることができます。

SHARE THIS

言語:
ISO 9001:2015 Home