デロイト トーマツ サイバー 上原 茂が訊く Vol.10　品質とスピードの両立―SDV時代に挑む日本の自動車づくりとは【前編】

米国のOEMなどは、すでに自社を自動車製造会社という位置づけからモビリティ・ソフトウェア企業として再定義し始めていると聞きます。　一方、日本のOEMは、元々こうした動きに対してはやや慎重な面があり、海外メーカーからは少し遅れている印象がありますが、しかしこれは「品質と安全性を最優先にする」というモノ作りに対する基本姿勢の現れであり、これにより日本のOEMは世界的に信頼を獲得してきたと言っても過言ではないでしょう。

SDVの開発においても、この基本姿勢は継続されるものと思いますが、その開発現場では従来の品質管理手法だけでは対応が困難な状況が発生しています。

開発するソフトウェア規模の拡大、開発サイクルの短縮化、これに伴うサイバー脆弱性の発生・混入、インターネットへのほぼ常時接続によるサイバー攻撃を受ける頻度の増大など、新たな課題に直面する中で、品質の維持と開発スピードの両立が重要な検討事項となっています。

そこで本日は、日本の自動車産業の伝統とも言える「品質」と「安全性の確保」という価値観を維持しながら、SDVの開発・展開をいかに加速できるのか、またそのために必要な技術や体制について、お二人の専門家をお招きし、お話を伺いました。

（2025年1月収録。各登場者の肩書は当時のものです）

【登場者】

横浜国立大学　先端科学高等研究院　上席特別教授
国立研究開発法人 産業技術総合研究所　フェロー
松本 勉 氏

CRYPTREC暗号技術検討会座長、内閣サイバーセキュリティセンター（NISC）研究開発戦略専門調査会会長、科学技術振興機構KプログラムAIセキュリティおよびソフトウェア不正機能検証プログラム・オフィサーを兼任。工学博士。

国立研究開発法人 情報通信研究機構　サイバーセキュリティ研究所 所長
井上 大介 氏

2003年横浜国立大学大学院工学研究科博士課程後期修了後、独立行政法人通信総合研究所（現NICT）入所。2006年からインシデント分析センターNICTER（ニクター）を中心としたサイバーセキュリティ研究開発に従事。主な受賞歴として、科学技術分野の文部科学大臣表彰（科学技術賞、2009年）、グッドデザイン賞（2013年）、産学官連携功労者表彰総務大臣賞（2016年）、前島密賞（2018年）、情報セキュリティ文化賞（2020年）、情報通信月間推進協議会会長表彰（情報通信功績賞、2022年）。工学博士。
参考サイト→https://csl.nict.go.jp/interview/daisuke-inoue.html

＜モデレーター＞

デロイト トーマツ サイバー合同会社 シニアフェロー
上原 茂

長年、国内大手自動車メーカーに勤務。国内OEMで電子制御システム、車両内LAN等の開発設計および実験評価業務に従事したほか、近年は一般社団法人 J-Auto-ISACの立ち上げや内閣府の戦略的イノベーション創造プログラム（SIP）adus Cybersecurityの研究リーダーを務める等、日本の自動車業界におけるサイバーセキュリティ情報共有の枠組みを構築。欧州駐在経験もあり、欧州自動車業界の動向等への理解が深い。

(以下、敬称略)

SDVの生命線を守る――OTAセキュリティの死角と対策

上原：まず「SDVとは何か」を確認させてください。複数の情報源によると、「双方向通信機能を活用し、ソフトウェアの継続的更新により、販売後も機能追加や性能向上が可能な自動車」とされています。特に重要な特徴が「OTA（※1）による車載ソフトウェアの更新・追加」です。

※1 OTA（Over The Air）：車載ソフトウェアの更新・追加などをケーブル接続ではなく、無線通信を使用して行う技術

OTAはSDVの中核技術であり、その中でも耐タンパー性（※2）は必須のセキュリティ要件です。そこで最初に「OTAによるソフトウェアアップデートの耐タンパー性」について議論したいと思います。松本先生、単刀直入にお伺いします。SDVにおけるOTAの耐タンパー性にはどのような課題が存在するのでしょうか。

※2 耐タンパー性：データの不正な読み出し、改ざん、解析を防ぐ能力

松本：SDVの「ソフトウェアの書き込みおよび更新が可能である」という仕組み自体はよいことだと思います。ただし、上原さんが指摘されている「無線で更新プログラムやファームウェア、ソフトウェアを自動車側に送る」というOTAは、自動車業界に新たな可能性をもたらす一方で、固有の課題も抱えています。それは「無線通信」と「ソフトウェア更新」という2つの特徴に起因する課題です。

特にセキュリティ面での考慮が重要です。例えば、正規ソフトウェアへの不正コード挿入や、古いバージョンへの「ダウングレード攻撃」などの脅威が想定されます。これらはシステムのインテグリティ（完全性）をいかに確保するかという問題です。

この問題に対処するには暗号技術、特にデジタル署名による検証が不可欠です。具体的には更新プログラムが正当な権限を持つ主体から提供されていることを確実に検証できる仕組みを確立し、セキュアな認証システムを実装するのです。更新プログラムの正当性を確認するシステムには、強固な耐タンパー性が求められます。

上原：なるほど。即効性のある対策として暗号技術が重要なのですね。一方で、クルマは15年から20年以上使用され続けます。長期的な視点でのセキュリティ確保についてはどのようにお考えですか。

松本：OTAの長期利用には、互換性を維持しながらセキュリティアップデートが可能なアーキテクチャが必要です。この課題に対しては、システムの一部にアップデート機能を実装することが検討されていますが、より本質的には数十年にわたり確実なセキュリティを維持できる基盤部分（信頼の基点）を確立しなければなりません。

上原：耐タンパー性を備えたソフトウェアの実装は、SDVにとって重要な課題です。具体的には「不正な読み取りや変更を防ぐ構造」の実現が求められますが、耐タンパー性確保のために“重いソフトウェア“となることは避けたいところで、処理速度との両立が課題となってきます。特に自動運転などリアルタイム応答が必要なシステムでは、セキュリティと制御性能のバランスが重要です。その点を十分配慮する前提で、耐タンパー性を向上させる技術として ターゲットとなる命令をダミー命令に置き換え外部からの攻撃から守る「自己書き換え型 耐タンパーソフトウェア」というものがありますが、このようなアプローチは耐タンパー性確保の”決め手“となるでしょうか。

松本：ソフトウェアそのものが耐タンパー性を有するようにする技術の一つとしてその技術がありますが、自己書き換えを許可しないアーキテクチャもあるため、汎用的な解決策とはなりません。ただし、特定の用途では効果を発揮する可能性はあります。他にも耐タンパーソフトウェアの技術はありますが、ソフトウェア単体だけでの対策には限界があります。

上原：SDVにおける耐タンパー性の実装では、システムの各パートごとにそれぞれのアプローチが必要だと考えています。つまり車載ソフトウェア側、コネクテッドシステム・サーバー側、さらに充電インフラ側といった具合です。例えば、今後の主流となると思われるEVのプラグ＆チャージは新たな攻撃機会を生む可能性大ですし、欧州などの庶民の生活＝仕事から帰宅、路上駐車し充電、満充電で翌朝出勤という日々のルーチンを考えるとサイバー攻撃を受けるリスク増大を思わずにはいられません。

松本：そうですね。ソフトウェアによる対策だけでなく、暗号化やデジタル署名、セキュアブートなど、複数の技術を組み合わせた総合的なアプローチが必要です。さらに、将来的な技術進歩による新たな脅威にも備える必要があります。その代表例が量子コンピュータの出現です。現在の暗号システムが将来的に無力となる可能性を見据え、耐量子計算機暗号への移行を検討すべきです。

上原：日本の自動車業界は品質で信用を築いてきました。SDVやOTAの導入で問題が発生すれば、業界全体の信用が損なわれます。OTAをSDVの「生命線」とする以上、暗号技術の高度化や量子コンピュータ対応を進め、信頼性を確保する必要がありますね。

松本：おっしゃる通りです。量子コンピュータ対応は段階的に進める必要があります。現時点では暗号の攻撃に対しては実用的な量子コンピュータがまだないため、既存の暗号技術でもセキュリティを確保できています。しかし、将来的に強力なフォールトトレラント量子コンピュータが開発された際に備え、耐量子計算機暗号への移行を今から検討する必要があります。特に自動車産業ではOTAが重要な役割を果たすため、優先的な対応が求められます。

SDVの生命線を守る――OTAセキュリティの死角と対策

上原： 次に井上さんに伺います。井上さんが所長を務めるサイバーセキュリティ研究所（NICT）のホームページで「セキュリティ自給率」という概念を拝見しました。これは「使用するセキュリティ技術・製品の国内開発・製造率」を指すと理解しています。例えば日本の食料自給率は全体で38％ですが、コメに限れば100％です。SDVにおいてOTAのような重要機能も100％を目指すべきだとお考えですか。

井上：理想的には国内製造が望ましいものの、現実には困難です。その理由は大きく二つあります。一つは製造環境のグローバル化です。自動車もIoT機器も、様々なサプライヤからの供給部品を組み合わせて製造されています。ですから「日本製」製品でも、内部のハードウェアやファームウェアの多くは海外製造なのですね。

もう一つはソフトウェアの大規模化による水平分業の進展です。セキュリティ製品を例にとると、境界防御のIDS（※3）やIPS（※4）、エンドポイント防御のEDR（※5）やEPP（※6）など、セキュリティ対策には様々な要素が必要です。NICTではこれらの製品・技術の自給率向上を提唱していますが、残念ながら十分なシェアを持つ日本製品は極めて少ないのが現状です。

※3 IDS（Intrusion Detection System）：ネットワークやシステムへの不正アクセスを検知するシステム
※4 IPS（Intrusion Prevention System）：不正アクセスを検知し、自動的に防御するシステム
※5 EDR（Endpoint Detection and Response）：端末での不正な動作を検知し対応するシステム
※6 EPP（Endpoint Protection Platform）：端末に対してマルウェアやウイルスなどの脅威を防御する統合型プラットフォーム

上原：確かにこれら分野のトップシェアは米国企業製品ですね。

井上：はい。これは経済安全保障の観点からも課題です。しかし、セキュリティ自給率を短期間で上げることは現実的ではありません。

上原： 耐タンパー性を確保しようとしても、根本的な部分で脆弱性があっては意味がありません。時間がかかったとしても自給率100％を目指すべきでしょうか。

井上：必ずしもすべてを国産化する必要はないと考えます。重要なのは製品の検証プロセスであり、海外サプライヤからの供給部品の動作状況や内部構造を国内で検証できる仕組みが必要です。具体的にはサプライチェーンの各段階でチェックポイントを設け、海外サプライヤからの供給部品をセキュリティの観点で確認するプロセスを構築することで、グローバルなサプライチェーンを活用しながら、セキュリティを確保できると考えています。

暗号基準の現実—海外依存がもたらす危うさ

上原：2025年は国内自動車メーカーも　”遅ればせながら“新型車としてSDVを投入すると聞いています。ソフトウェアアップデートの信頼性確保において、留意すべき点は何でしょうか。

松本：SDVだけの話ではありませんが、ソフトウェアアップデートの信頼性確保には「暗号モジュールのセキュリティ基準」が重要です。

現在、暗号モジュールのセキュリティ要件には国際基準の「ISO/IEC 19790」と米国連邦政府の「FIPS 140」シリーズという2つの重要基準があります。ISO/IEC 19790は政府機関や企業が暗号製品を調達する際の評価基準として広く使用されており、FIPS 140の最新版である140-3とも互換性があります。FIPS 140シリーズでは、セキュリティレベルが1から4まで定められており、日本の多くの規格では、FIPS 140-2のレベル3以上を要件としています（※7）。

※7 FIPS 140-2レベル3：ハードウェアによる耐タンパー性や強力な暗号化機能など、高度なセキュリティ要件を定めた基準

しかし、この状況には二つの深刻な課題があります。一つはこれらの要件に適合する暗号モジュールの製造基盤が特定の海外企業に集中していること。これは、サプライチェーンの安定性や経済安全保障の観点から様々なリスクをはらんでいます。

上原：なるほど。

松本：もう一つは製品の透明性の問題です。企業統合などにより、製品の内部構造の透明性が低下しています。主要製品でも製造元が内部構造を十分把握せず、ユーザーからの技術的な質問に適切に回答できないという状況が生じています。セキュリティ製品としては本質的な問題であり、このような状況を放置することは危険です。

上原：お二人のお話を伺って、早急に対策すべき二つのポイントが明確になりました。　一つは製品のサイバーロバスト性の評価能力を高めること。もう一つは信頼できるサプライチェーンの構築と（低コストや短納期などに惑わされず）そこからの調達の徹底です。現在のSDV移行においても、これらは発展途上なのでしょうか。

井上：はい。ただしこの問題は自動車会社に限りません。NICTの調査では、同様の課題が広く存在することが判明しています。例えばIoT機器の脆弱性調査では、日本のベンダーの製品にも重大な脆弱性が発見されることがあります。

例えば2017年に発生した大手モバイルキャリアのWi-Fiルータ感染事案では、基本的なセキュリティ対策の不備が事後に判明しました。この製品は内部が韓国で開発されていたのですが、受入検査で発見可能だった単純な脆弱性を見過ごしていました。このことからも「個別モジュールのセキュリティチェック」と「組み合わせ後の総合的なセキュリティ検証」が重要だと言えるのです。

垂直統合から水平分業へ―SBOM導入の期待と課題

上原：これまでセキュリティの技術面を議論してきました。ここからは開発体制について伺います。

自動車業界の従来の開発体制は、カリスマ的なチーフエンジニアを頂点とする垂直統合型でした。この体制は、品質管理の観点で大きな成果を上げてきました。しかし、SDV開発では、ソフトウェア開発の水平分業をいかに既存体制に組み込むかが課題です。チーフエンジニア制度の利点を維持しながら、水平分業を柔軟に取り入れ、品質評価を確実、かつ迅速に行う方法についてお考えを聞かせてください。

松本：ご指摘の通り従来の垂直統合型開発では、チーフエンジニアが全体を把握し、細部まで管理できました。しかしSDV開発では状況が大きく異なります。ソフトウェアコンポーネントは多岐にわたり、その数も膨大です。さらに、それらの多くが外部調達となるため、新たな管理手法が必要です。

上原：そこで注目されているのがSBOM（ソフトウェア部品表 ※8）ですね。ソフトウェアコンポーネントの一覧化により、脆弱性リスクや更新状況の把握、抜け・漏れの防止が期待されています。

※8 SBOM（Software Bill of Materials）：ソフトウェアの構成要素を一覧化した文書。サプライチェーンの透明性確保に重要な役割を果たす。

ただし個人的には、「SBOMを作成さえすれば、評価漏れや判断の甘さをカバーできる」という考えには懐疑的です。SBOMは作成するだけでなく、それを効果的に活用する体制整備が必要だと考えています。この点についてはいかがお考えでしょうか。

松本：SBOMには二つの課題があります。一つは上流工程からの正確な情報引き継ぎです。もう一つはバイナリーコード（※9）でしか提供されないソフトウェアのソースコードの真正性確認です。SBOM生成の自動化技術は開発中ですが、まだ技術的なハードルが高いのが現状です。そのため、SBOM作成の自動化ツール開発と、標準化された運用プロセスの確立が急務です。

※9 バイナリーコード：コンピュータが直接実行可能な形式（＝“１”と“０”だけ）で表現されたプログラムコード

井上：SBOMはセキュリティ管理の出発点として捉えるべきです。組織のインベントリ管理と同様に、SBOMは新しい脆弱性が発見された際の対応判断や日常的なセキュリティ管理の基盤となります。つまり、導入と同時に、それを活用したセキュリティ対応に取り組む姿勢が重要なのです。

上原：OEM各社は、従来の垂直統合型開発で培った品質管理体制・基準を維持しつつ、SBOMを活用したソフトウェア部品管理の追加とその効果的な運用が求められますね。OEM各社はここに本腰を入れて取り組まなければ、SDV開発が主流となる100年に一度の自動車業界の大変革に乗り遅れるかもしれません。

【後編に続く】