Posted: 10 Jan. 2025 13 min. read

デロイト トーマツ サイバー 上原 茂が訊く Vol.8 SDV時代に考える「守るべき情報」とは何か【前編】

進化するSDVのセキュリティ―サプライチェーンとユーザー保護の両立

ソフトウェアを中心に設計されたSDV(Software-Defined Vehicle)は、自動車産業のデジタル変革を象徴する存在です。SDVはCASE「Connected(コネクテッド)」「Autonomous(自動運転)」「Shared & Services(シェアリング)」「Electric(電動化)」を実現するうえで不可欠であると言えるでしょう。特にコネクテッド機能は、ソフトウェアアップデートによる継続的な機能進化や、リアルタイムでの車両状態監視、さらにはドライバーの好みや使用状況に応じたパーソナライズされたサービスを提供する中核的な存在として、SDVの基盤を支えています。

しかし、このようなソフトウェア主導の変革は新たな課題も生み出しています。従来の自動車では物理的なアクセスが無ければ車両システムを操作することは困難でしたが、SDVではソフトウェアによる制御とネットワーク接続が前提となるため、サイバー攻撃のリスクが飛躍的に高まります。また、運転習慣やルート履歴、個人の嗜好といった機微な情報の取り扱いも重要な課題となっています。

そこで今回は重要生活機器連携セキュリティ協議会代表理事である荻野 司氏と、こうした技術に関する有識者である田丸 喜一郎氏を迎え、SDVの本格的な普及に向けた重要課題である「守るべき情報の適切な管理」と「システムの安全性確保」について、その現状と解決策を探っていきます。

(2024年11月13日収録。各登場者の肩書は当時のものです)

 

【登場者】

重要生活機器連携セキュリティ協議会(CCDS)代表理事
情報セキュリティ大学院大学 客員教授
ゼロワン研究所代表
荻野 司 氏

1986年キヤノン株式会社入社。同中央研究所で製品開発とISP事業に従事。2003年から2014年まで株式会社ユビテックの社長を務め、IoT分野での事業化を主導。その後、JNICのIP担当理事やIPv6普及・高度化推進協議会の常務理事を歴任。JSTさきがけ「IoTが拓く未来」領域のアドバイザーや、経済産業省・産業技術総合研究所の各委員会で要職を務める。

 

一般社団法人WSN-ATEC 理事長
一般社団法人 人間中心社会共創機構 副理事長
田丸 喜一郎 氏

1981年慶應義塾大学工学研究科博士課程修了。工学博士。株式会社東芝を経て、独立行政法人情報処理推進機構(IPA)に従事。一般社団法人ディペンダビリティ技術推進協会副理事長、一般社団法人人間中心社会共創機構理事、一般社団法人重要生活機器連携セキュリティ協議会フェロー、九州工業大学客員教授等を務める。

 

<モデレーター>

デロイト トーマツ サイバー合同会社 シニアフェロー
上原 茂

長年、国内大手自動車メーカーに勤務。国内OEMで電子制御システム、車両内LAN等の開発設計および実験評価業務に従事したほか、近年は一般社団法人 J-Auto-ISACの立ち上げや内閣府の戦略的イノベーション創造プログラム(SIP)adus Cybersecurityの研究リーダーを務める等、日本の自動車業界におけるサイバーセキュリティ情報共有の枠組みを構築。欧州駐在経験もあり、欧州自動車業界の動向等への理解が深い。

(以下、敬称略)

 

SDV時代が直面する「進化」と「課題」の分岐点

上原:最初に、SDVがもたらす自動車産業の具体的な変化について整理させてください。

SDVの普及により、自動車産業は大きな転換期を迎えています。特に注目すべきは、これまでハードウェア中心だった車両設計が、ソフトウェア中心へとパラダイムシフトしていることです。例えば、車両の性能や機能の多くがソフトウェアで定義され、購入後でも機能追加や性能向上が可能になります。また、AIによる高度な運転支援や自動運転、さらには車両データを活用したさまざまなサービス連携等、従来の自動車では実現できなかった価値を生み出しています。

このように、SDVは移動手段としての自動車をさらに高度なソフトウェアプラットフォームへと進化させようとしています。しかし、その革新的な進化は同時に、新たなリスクも生み出しています。常時接続による通信機能は、サイバー攻撃の標的となる可能性があり、収集されるさまざまな個人情報の保護も重要な課題です。こうした新たな脅威に対して、業界ではどのような取り組みが行われているのでしょうか。

まず荻野さんに伺いたいのですが、重要生活機器連携セキュリティ協議会(Connected Consumer Device Security Council:以下CCDS)とはどのような団体なのか、設立背景と活動内容を教えてください。サイバーセキュリティやプライバシーに関する団体は多くありますが、一般消費者の生活機器を包括的に扱う団体は多くありませんよね。

 

荻野:CCDSは生活機器のネットワーク接続や、他機器との相互接続における安全性確保を目的として、2014年に設立されました。コネクテッドデバイスはこれまでにない付加価値を提供する反面、想定外の接続によって利用者の安全性が脅かされたり、セキュリティ脅威にさらされたりするリスクがあります。実は、その設立のきっかけとなったのが自動車、いわゆるコネクテッドカーだったのです。

 

上原:それは知りませんでした。

 

荻野:2010年、米国ワシントン大学の研究者たち(Karl Koscher, Alexei Czeskis, Franziska Roesner, and Tadayoshi Kohno)が、「自動車の脆弱性に関する包括的な実験分析(Comprehensive Experimental Analyses of Automotive Attack Surfaces)」という論文を発表しました。論文では、車載CDプレーヤー等のインフォテインメントシステムからパワートレインにアクセスし、ハンドル操作を乗っ取る攻撃が可能であることを示したのです。車載機器を通じた車両制御システムへの侵入可能性が示されたのは、この研究論文が初めてです。

当時、IoT機器への攻撃は知られていましたが、自動車への攻撃は想定外でした。その時に田丸さんから「これからは車が危ないぞ」という話を聞き、私が組み込みシステムの経験があったことから、CCDSの設立に至ったのです。

そして2015年、私たちの懸念は現実のものとなります。米国の有名なセキュリティリサーチャーが、特定車種のインフォテインメントシステムの脆弱性を利用して電子制御ユニット(ECU)に侵入し、エアコンやステアリング操作、アクセル、ブレーキといった運転操作を遠隔制御できることを実証しました。

 

上原:当時は100万台以上の該当車種がリコールされ、大きなニュースになりましたね。

 

荻野:はい。2015年当時はCASEという言葉が使われ始めた時期でしたから、この事件によって「コネクテッドカーは危険だ」という認識が一気に拡散したのです。

こうした情勢の中、CCDSは「ネットワーク接続機器には必ずリスクが存在する」という前提に立ち、想定されるリスクとその対策についてメーカーとともに検討を重ねてきました。具体的には、セキュリティ設計プロセスの開発、検証方法のガイドライン策定、国際標準化の推進等を行っています。そして10年間の活動を通じて分かってきたのは、「基本的なセキュリティ対策でも、かなりの防御効果が得られる」です。

自動車に限ったことではありませんが、現在の攻撃は特定製品を狙うよりも、広く普及している製品を一括で攻撃する手法が主流です。そのため、CCDSでは以下の2点に注力しています。

  1. 開発段階から実装できる、コスト効率のよい基本的な防御策の提案
  2. サプライチェーン全体でのセキュリティ確保

 

上原:自動車産業では、OEMを頂点に、Tier1、Tier2さらにその下流といったサプライチェーンが確立され、全体でのセキュリティ確保が大きな課題です。

 

荻野:そうですね。スマートホームを例に説明しましょう。家自体は住宅メーカーが建てますが、システムキッチンや空調等の設備機器は、専門メーカーから調達して家を構築します。つまり消費者にスマートホームを販売する住宅メーカーだけでなく、そこに機器を納入するサプライヤーも含め、サプライチェーン全体でセキュリティを担保しなければならないのです。

今、CCDSが注力しているのは各サプライヤーに対し、低コストで効果的な防御方法の提案です。小規模であっても各サプライヤーが個々の対策を講じれば、スマートホーム全体では多重防御になるのです。

 

 

拡大するサプライチェーンと変容するメーカー責任

上原:サプライチェーンについて田丸さんにお伺いします。SDV化が加速すれば、これまで自動車産業に参入していなかったさまざまな事業者が車載アプリケーションを開発するようになるでしょう。そうした環境でOEMが全ての事業者を把握し、コントロールすることは困難です。その結果、自動車の安全性が低下することにつながりかねませんか。

 

田丸:大きな課題は、OEMの責任範囲の再定義です。荻野さんが指摘されたように、自動車会社も住宅メーカーもサプライチェーン全体でセキュリティを担保していく必要があります。ただし、両者では大きく異なる点があります。それは住宅の場合、「設備機器の選択は消費者が行っている」という点です。“箱”となる家本体は住宅メーカーから購入しますが、“中身”となる設備機器や家電は消費者が各メーカーのブランドを意識しながら製品を選択できます。

翻って自動車の場合は、“中身”にどのベンダーの機器やソフトが備わっていても、自動車メーカーが全ての責任を負って「○○の自動車」として販売します。しかし、今後はこうした販売形態は見直しが必要でしょう。なぜなら自動車メーカーは「そこまでの責任を負えない」状況になってきているからです。

 

上原:これまでの自動車の設計開発は垂直統合型で、チーフエンジニア(CE)が製品全体を把握し、予算も含めて全てを統括する形で進めてきました。しかし、これからは「自動車メーカーが全ての責任を負う」従来のモデルは維持できなくなりそうですね。住宅メーカーと同様、自動車メーカーは車体という“箱”は販売するものの、“中身”となるインフォテインメントシステムや利便性を追求したアプリケーションは別の会社から調達する形態に移行していくでしょう。

 

荻野:最近、CCDSで活動しているスマートホーム関連の方々から、「自動車業界が羨ましい」と言われました。その理由は「自動車は自動車メーカーが全てを管理できる」からだそうです。

田丸さんが指摘されたとおり、スマートホームの場合は設備や家電は消費者が選択します。そのため、スマートホーム全体のセキュリティを担保することが難しく、現在は調達部品に対する最低限のルール作りしかできない状況です。さらに言えば、そのルールすら満たしていない機器が持ち込まれるのも時間の問題となってしまっています。自動車の場合は、まだそこまでの状況には至っていませんよね。

 

 

上原:個人的な見解ですが、自動車もすぐに同じ課題に直面すると危惧しています。コネクテッドカーのインフォテインメントシステムは、オープンなソフトウェアプラットフォーム=オープンソースOSでの開発が進んでいます。同時に、スマートフォンと車両を連携させるアプリケーションも増加しており、カーナビやエアコンを操作できるコネクテッドカーも登場しています。特にスマートフォンアプリについては参入障壁が低く、十分なセキュリティが担保されていないものも少なくありません。

 

荻野:ただし自動車業界に限らず、オープンソースOSの活用は世界的な潮流で、押しとどめるのは難しいでしょう。例えば、宇宙産業でもオープンソースOSは多用されています。ロケットに搭載される人工衛星の中には、オープンソースソフトウェアや汎用OS搭載のパソコンが使われていますし、人工衛星を管理するシステムにもオープンソースソフトウェアが使われています。

こうした状況を考えると、SDVでも守るべき情報をしっかりと定義して適切な対策を講じれば、オープンソースソフトウェアを安全に活用できるのではないでしょうか。

 

SDVで直面する「守るべき情報」の本質とは

上原:次に、今、荻野さんが指摘された「守るべき情報」について伺います。コネクテッドカーはドライバーの運転データを収集・分析することで多様な付加価値サービスを提供しています。また、インフォテインメントシステムはクレジットカード情報をはじめとした個人情報とも連携しています。安全性を担保するうえで、「守るべき情報」をどのように捉えればよいでしょうか。

 

荻野:私が大学で教えている時も、守るべき情報の重要性について必ず説明しています。

情報処理推進機構(IPA)ではIT製品やシステムのセキュリティ機能を第三者が客観的に評価・認証する「適合性認証制度」を運営しています。そこで議論になっているのが「何を守るべきか」の決定です。製品の種類や用途によって対象となる守るべき情報は変わってきますが、その線引きが難しいのです。

例えば、スマートフォンでは個人情報を守ることが重要だと必ず言われます。確かに「生命と財産」の観点で考えると、クレジットカード情報等の個人情報は重要です。しかし「安全性を担保する」という観点から考えると、もっと重要な情報があります。それが、デバイスの制御に関する情報です。自分たちが使っているデバイスが知らないうちに第三者に乗っ取られて情報を改ざんされれば、人命を脅かす事故に直結します。これが最も危険な状況です。

 

上原:ドライバーを危険にさらすような制御の乗っ取りは、技術的にどの程度可能なのでしょうか。

 

荻野:2015年のハッキング事例が示すように、特定車種の脆弱性を突き止めて侵入経路を確保し、タイミングを見計らって攻撃すればECUを攻撃することは可能ですが、容易ではありません。むしろ現実的な脅威として考えられるのは、燃料系統のシステムを誤作動させてガソリン残量表示をガス欠にするといった、より単純な攻撃です。

 

田丸:むしろ位置情報を狂わされたり、付帯情報を改ざんされたりすることで車が誤った判断をしてしまうリスクのほうが大きいですよね。直接的な制御の乗っ取りよりも実行が容易である一方、重大な事故につながる可能性があります。例えば自動運転システムを騙し、存在しない障害物を認識させて回避行動を取らせれば、ハンドル操作の乗っ取りと同様の危険性があります。

 

上原:そうした攻撃の影響は、物理的な被害だけではありませんね。以前、高速道路を走行中に、満タンだった燃料計が突然エンプティを示したことがありました。それが故障だと分かっていても、時間的なロスを承知のうえでいったん、高速道路を降りてガソリンスタンドに向かわざるを得なかったのです。ドライバーの不安を煽ることで、間接的に危険な状況を作り出すことも可能だと実感しました。

 

 

荻野:そうですね。実は最も怖いのは簡単にできる攻撃です。

私はかねてから「脅威マップ」作成の必要性を訴えています。これは災害対策で使用される「ハザードマップ」の考え方をITセキュリティに応用したものです。物理的な被害を予測するハザードマップのように、サイバー攻撃による潜在的な被害とその影響を可視化し、適切なリスクアセスメントを行うのです。

これがあれば発生リスクの低い脅威に高コストの対策を行うのを避け、少額で対処可能な脆弱性対策を確実に実行するといった、効率的な対策が可能になります。5,000円の機器に1万円のセキュリティ対策は現実的ではありませんが、最低限必要な対策はあるはずです。

 

上原:SDVが普及するには、ユーザーの意識向上も重要な課題ですね。利用者がリスクを理解する機会を設けると同時に、メーカーも適切な啓発活動を行う必要があります。メーカー側の対策と利用者の理解の両輪のバランスについて、田丸さんはどのようにお考えですか。

 

田丸:私はセキュリティ対策の主体はあくまでメーカー側にあるべきだと考えています。企業システムであれば専門の管理者による対策も可能ですが、一般消費者に高度なセキュリティ管理を期待するのは現実的ではありません。子供の遊び場を考えてください。子供に「気を付けて遊びなさい」と注意を促すだけでなく、周囲に柵を設けたり、適度なクッション材を敷いたりする等、転んでも大丈夫な環境を整えますよね。自動車メーカーも同様に、「誤使用や攻撃があっても重大な問題につながらない」システム設計が、SDV時代には重要なのではないでしょうか。

 

上原:実際に消費者がリスクアセスメントを行うとしたら、どのようなアプローチがあるとお考えですか。参考になる指針はありますか。

 

荻野:先に紹介したIPAでは、早期から具体的なリスクアセスメントの手法を紹介しています。例えば、コネクテッド機器のセキュリティ評価では「つながる世界の開発指針」という資料を無償公開しています。本資料はIoT製品の安全性やセキュリティ確保を狙いとしたもので、製品開発者が考慮すべきリスクや対策を明確化し、具体的かつ体系的なアプローチを解説しています。

つながる世界の開発指針は2016年に発行され、現在は第二版が提供されています。実は今年9月末に公開された適合性認証制度の新しいドキュメントには「つながる世界の開発指針」の考え方が活かされているのです。

 

【後編に続く】

プロフェッショナル

泊 輝幸/Teruyuki Tomari

泊 輝幸/Teruyuki Tomari

デロイト トーマツ サイバー合同会社 執行役員

情報セキュリティ、危機管理、事業継続管理、等のリスクマネジメント全般のコンサルティングを多数手掛ける。 近年はサイバーセキュリティ領域に主軸を置き、サイバーセキュリティ戦略立案、対策導入、等のコンサルティングに加え、24時間365日でサイバー脅威を分析・監視するDeloitte Cyber Intelligence Center(CIC)の統括責任者を務める。 また、デロイト自動車セクターにおけるリスクアドバイザリー領域の日本責任者でもあり、コネクティッドカー領域や、工場設備制御領域のセキュリティも手掛ける。