Posted: 10 Jan. 2025 14 min. read

デロイト トーマツ サイバー 上原 茂が訊く Vol.9 SDV時代に考える「守るべき情報」とは何か【後編】

SDVがもたらす新たな価値とセキュリティの課題―個人情報活用と認証制度の展望

(2024年11月13日収録。各登場者の肩書は当時のものです)

【前編はこちら】

 

【登場者】

重要生活機器連携セキュリティ協議会(CCDS)代表理事
情報セキュリティ大学院大学 客員教授
ゼロワン研究所代表
荻野 司 氏

1986年キヤノン株式会社入社。同中央研究所で製品開発とISP事業に従事。2003年から2014年まで株式会社ユビテックの社長を務め、IoT分野での事業化を主導。その後、JNICのIP担当理事やIPv6普及・高度化推進協議会の常務理事を歴任。JSTさきがけ「IoTが拓く未来」領域のアドバイザーや、経済産業省・産業技術総合研究所の各委員会で要職を務める。

 

一般社団法人WSN-ATEC 理事長
一般社団法人 人間中心社会共創機構 副理事長
田丸 喜一郎 氏

1981年慶應義塾大学工学研究科博士課程修了。工学博士。株式会社東芝を経て、独立行政法人情報処理推進機構(IPA)に従事。一般社団法人ディペンダビリティ技術推進協会副理事長、一般社団法人人間中心社会共創機構理事、一般社団法人重要生活機器連携セキュリティ協議会フェロー、九州工業大学客員教授等を務める。

 

<モデレーター>

デロイト トーマツ サイバー合同会社 シニアフェロー
上原 茂

長年、国内大手自動車メーカーに勤務。国内OEMで電子制御システム、車両内LAN等の開発設計および実験評価業務に従事したほか、近年は一般社団法人 J-Auto-ISACの立ち上げや内閣府の戦略的イノベーション創造プログラム(SIP)adus Cybersecurityの研究リーダーを務める等、日本の自動車業界におけるサイバーセキュリティ情報共有の枠組みを構築。欧州駐在経験もあり、欧州自動車業界の動向等への理解が深い。

(以下、敬称略)

 

収集データは誰のもの?
先行する活用に追いつかないルール策定

上原:後半ではSDV(Software-Defined Vehicle)における個人情報管理とサイバーセキュリティ対策について議論を深めたいと思います。

SDVは自動運転、ADAS(Advanced Driver-Assistance Systems)、スマートフォンを利用した多数のリモート操作やコネクテッドナビ、緊急時の救援・支援サービス等、多様な付加価値をドライバーに提供できる機能を備えます。一方で、OEMによる個人情報の収集と共有が過度に行われている実態があります。2023年のMozilla財団の調査によれば、収集される情報には、氏名、年齢、性別、住所、社会保険番号、運転免許証番号、民族性等の個人情報から、IPアドレス、顔認証データ、音声認証データ、指紋認証データ、医療関係情報、スマートフォンの位置情報、ドライブレコーダーの3D画像まで含まれていると報告されています。

特に懸念されるのは、同財団の調査で明らかになった、OEMの84%が、個人情報をデータブローカーと既に共有しているという事実です。さらに、OEMは「これらの情報の所有権は自分たちにある」と認識している点です。情報の扱い方については十分な議論がないままに進んでしまっている印象です。お二人は個人情報とプライバシーの保護に関して、どのようにご覧になっていますか。

 

荻野:個人情報保護の世界的な潮流を見ると、特に欧州ではGDPR(一般データ保護規則)による厳格な規制が実施されています。自動車産業におけるデータ活用についても、この国際的な規制の枠組みの中で判断されていくことになるでしょう。現時点では自動車業界特有の明確なルールは確立されていませんが、今後はグローバルでの連携により、より厳格な基準が設けられていくと考えられます。

一方、日本では既に個人情報の匿名化に関する具体的なルール作りが進んでいます。例えば、コロナ禍での携帯電話の位置情報活用や、交通系ICカードの利用データ分析等、センシティブな個人情報の取り扱いについて、実践的な匿名化の手法とルールが確立されています。

これらの経験を活かせば、自動車から収集されるデータについても、個人のプライバシーを保護しながら、車両の性能向上やサービス改善に活用することが可能です。私は、適切な匿名化処理を施したデータの活用は、自動車産業の発展に不可欠だと考えています。重要なのは、個人情報保護と産業発展の両立であり、そのためのルール作りを積極的に進めるべきです。

 

田丸:自動車メーカーが収集するデータの活用について、私は社会的価値の創出という観点から考える必要があると思います。

自動車メーカーが保有するデータは、単に企業活動のためだけでなく、社会全体にとって極めて重要な公共財となる可能性を秘めています。特に災害対応の場面では、そのデータの価値が顕著に表れます。例えば、大規模災害発生時に、車両の位置情報データをリアルタイムで防災機関と共有できれば、自衛隊や救助隊による迅速かつ効率的な救援活動が可能になります。被災地域の車両の分布状況は、被災者の所在把握や救助ルートの最適化に直接役立つからです。

しかし、こうした公益目的でのデータ活用を実現するためには、いくつかの重要な課題を事前に整理しておく必要があります。具体的には、収集されたデータの種類や提供のタイミング、データを共有すべき関係機関の特定、さらには提供データの形式など、実務的な検討が必要です。特に緊急時における個人情報の取り扱いについては、通常時とは異なるルール作りが求められるでしょう。これらの課題に対して、平時から具体的な枠組みを構築しておく必要があります。残念ながら現時点ではこうした検討はあまりされていません。

 

上原:確かにMozilla財団の指摘は重要な問題提起ですが、自動車メーカーによるデータ収集を一概に否定的に捉えるべきではないということですね。

田丸さんがおっしゃったように、適切に活用されれば、それらのデータは社会に大きな価値をもたらす可能性があります。ただし、データの収集と活用には必ず危険性が伴いますよね。SDVは膨大なデータが取得できる反面、悪意のある者によるデータの不正利用やサイバー攻撃のリスクに対して、どのように防御していくかは喫緊の課題だと考えています。

 

 

SDVで自動車をパーソナライズ化
ソフトウェアアップデートは自己責任?

上原:次にコネクテッド機能を活用したパーソナライズの可能性とセキュリティのあり方について伺います、SDVはユーザー体験を大きく向上させる可能性がありますが、同時にプライバシーとセキュリティの新たな課題も生み出します。

例えば、ドライバーの好みに応じた設定を保存する場合、どのデータを車内に保存し、どのデータをクラウドに送るのか。また、複数のドライバーがシェアリングカーを利用する場合、どのようにプロファイルを切り替え、プライバシーを保護するのか。これらの具体的な実装方法を、業界全体で検討していく必要があります。

 

荻野:車は実用品であると同時に嗜好品です。SDVが普及すれば同じ外観の車でも、ユーザーごとに全く異なる使い方や機能を実現できます。

 

上原:カスタマイズ機能が充実すればするほど、ユーザーの設定データの管理も重要になってきますね。例えば、車を買い替える際に、スマートフォンのようにこれまでのパーソナライズ設定を新しい車に移行できる仕組みが必要になります。さらに別の視点から、そのようなパーソナライズ情報だけでなくユーザーがその車に一定期間乗り、下取りに出すまでの間に外部のサーバーやウェブサイト等とやり取りしたアクセス情報(ユーザーID、パスワード、メールアドレス、検索した内容等)が一時的にセーブされている車両側、クラウド側両方のメモリの確実な消去は今後、非常に重要となると思われます。これは利便性向上の話とは別に、関係する全てのOEM、通信事業者間での標準化も含めた業界全体で取り組むべき個人情報保護の大きな課題ですね。

 

田丸:そうですね、その点は私も同感です。そのような個人情報保護が確実に実施される前提で、さらにSDVのメリットをもう一つ付け加えれば、ユーザーの選択肢が画期的に広がることです。これまでの自動車開発では、メーカーは多様なユーザーニーズに対応するため、想定されるあらゆる機能を標準装備として搭載せざるを得ませんでした。その結果、個々のユーザーにとっては不要な機能も含まれ、時にはそれがセキュリティリスクになることもありました。

しかしSDVでは、このパラダイムが大きく変わります。ユーザーは自分のライフスタイルや使用目的、そしてリスク許容度に応じて、必要な機能を選択的に有効化できるようになります。例えば、高度な自動運転機能を必要とするユーザーはそれを選択できますし、よりプライバシーを重視するユーザーは、データ収集を最小限に抑えた基本的な機能のみを選択することも可能です。

 

上原:その選択を可能にする技術が、OTA(無線経由のソフトウェアアップデート)です。SDVは、OTAを通じてさまざまな情報を入手でき、ソフトウェアを更新できます。メカニカルな部分は5年10年と古いものに乗り続けなければなりませんが、ソフトウェアは常に最新の状態を維持できますよね。

 

田丸:ソフトウェアには物理的な経年劣化がないという大きな利点があります。必要なのは新機能や修正をリリースする際の品質認証だけです。また次々と出てくるセキュリティパッチを常に適用できることは大きなメリットです。一方、メカニカルな部分は使用と共に物理的に劣化するため、定期的な認証や検査による安全性の確認が不可欠です。この違いを活かすことで、SDVは車両の基本的な性能を維持しながら、ソフトウェアによって新しい価値を継続的に提供できるのです。

 

上原:ただし、新しい課題も出てきます。最も懸念されるのは、新しいソフトウェアの追加が既存のソフトウェアに影響を与え、結果的に脆弱性を生み出してしまう可能性です。例えば、ある機能のアップデートが他の機能のセキュリティ設定と競合したり、新機能の追加が既存の保護機能を弱めたりする可能性があります。このようなリスクを防止するには、アップデートの認証プロセスと、導入後の影響評価の仕組みが不可欠です。

 

荻野:この課題に対して、実装面で重要なのが機能間の依存関係の管理です。車は数万点のパーツから構成されており、それぞれが密接に関連し合っています。例えば、ブレーキ制御システムは、車輪速センサーやABS(ブレーキ減圧)、スタビリティコントロール(ブレーキ加圧)など、多くの機能と連携しています。ある機能をレベルアップした際に、こういった関連機能に予期せぬ影響が出ないよう、各パーツに最低限のセキュリティを確保する必要があります。そのためには、BOM(Bill of Materials:部品表)で使用部品やSBOM(ソフトウェア部品表)でソフトウェアの構成情報を厳密に管理し、更新時の影響範囲を正確に把握することです。

 

田丸:SDVではドライビングデータをはじめ、ユーザーが「どのソフトを」「どのように利用しているか」といったデータを収集・分析できますから、それを基に継続的なシステム改善が可能です。例えば、想定外の機能の組み合わせで不具合が発生した場合には、それらに対応する安全対策を迅速に展開できます。従来の自動車では事後的な対応しかできなかったことを考えれば、予防的に対処できるメリットは大きいでしょう。

 

荻野:SDVのこうした特徴を活かすため、CCDSでは段階的な認証の仕組みを導入しています。従来の合格・不合格という二択の認証制度に代わり、一つ星から三つ星までのランク付けによって、セキュリティレベルを段階的に評価するのです。これにより、ユーザーは自身のニーズに応じて適切なセキュリティレベルを選択できます。

例えば、基本的な利用であれば一つ星認証の機能で十分かもしれませんし、より機密性の高い用途では三つ星認証の機能を選択するといった判断が可能になります。

 

上原:つまり、ユーザーが自身のニーズと予算に応じてサービスレベルを選択できる時代が来るということですね。必要な機能を、必要なセキュリティレベルで選べる。この柔軟性こそが、SDVならではメリットですね。

 

 

どうなる認証制度、ネックは各基準の整合性

上原:次にSDVを含む自動車のサイバーセキュリティに関する認証制度について伺います。現在は「ISO 21434」や「UN-R155、156」といった国際規格や法規が整備されましたが、CCDSでは重要生活機器としての認証基準や取り組みについてどのような検討をしていますか。

 

荻野:生活機器の情報セキュリティの基準としては、「ISO 15408(コモンクライテリア)」が広く知られています。これはIoT機器を含む、インターネットに接続する機器全般を対象とした包括的な基準です。しかし、この認証制度は非常に重厚で時間もコストもかかるため、多様なIoT機器への適用が難しいという課題があります。この課題に対応するため、ヨーロッパやアメリカでは、IoT機器向けのより軽量な認証制度の整備を進めています。日本も同様の方向性で検討を進めているところです。

 

上原:自動車のセキュリティ基準と家電製品のIoTセキュリティ基準は、これまで別々の文脈で発展してきました。しかし、SDVの登場により、自動車もコネクテッド機器の一つとして捉えられるようになってきています。両者の認証制度や基準を連携させることで、より効率的なセキュリティ対策の実現を期待する声もありますよね。例えば、IoT機器で実績のある軽量な認証の仕組みを自動車にも応用するといった可能性はあるのでしょうか。

 

荻野:現在の日本の枠組みはまだ明確ではありません。IoT機器の認証の仕組みがようやく始まったばかりという段階です。ただし、将来的には自動車を含めたIoT機器全体での統合的なセキュリティ基準の確立は重要な課題になるでしょう。

この点で参考になるのが、ヨーロッパの取り組みです。ヨーロッパでは既に機器の特性に応じたカテゴリー別の基準が確立されています。具体的には、無線通信機能を持つ機器にはRED(Radio Equipment Directive:無線機器指令)が適用され、デジタル製品のセキュリティ対策を義務付ける新法「サイバーレジリエンス法案」(EU Cyber Resilience Act:CRA)にて認証制度が整備されています。

自動車本体については既に確立された業界基準がありますが、車載用Webカメラのような付随的なIoT機器の場合、この自動車向け基準だけでは対応が難しい部分があります。ヨーロッパではこういった機器に対してCRAを適用することで、包括的な安全性確保を目指しています。この動きは、アメリカでも同様の方向で進んでおり、日本も同じ道筋をたどることになるでしょう。

 

上原:どこかでうまく融合していく必要がありますね。

 

田丸:自動車メーカーとしては搭載される機器やアプリケーションをカテゴリー分けして、それぞれに適切なセキュリティ要件を設定していく必要があると考えます。

 

荻野:その通りです。現在の課題の一つが、ドライブレコーダーのような機器のセキュリティ基準です。同じような機能を持つ機器でも、車載用と一般用では異なる基準が適用されており、このダブルスタンダードの解消が必要です。将来的には、車という枠組みだけでなく、機能やアプリケーションの特性に応じた統一的な基準が求められるでしょう。

 

 

SDVが実現する次世代モビリティ社会とは

上原:最後に、SDVの将来展望についてお伺いします。SDVの台頭は自動車産業全体の構造に大きな影響を与えることは間違いありません。従来の自動車メーカーとサプライヤーの関係性や、新たなプレイヤーの参入など、今後自動車産業構造はどのように変化していくとお考えでしょうか。

 

田丸:3つの変化を意識する必要があると考えます。1つ目は産業構造が従来のピラミッド型から水平分業になることです。つまり自動車メーカーを頂点とするピラミッド型のサプライチェーンから、ソフトウェア企業やクラウドサービス事業者など、新たなプレイヤーを含めた水平分業型の構造への移行です。

2つ目は利用者の選択基準の変化です。従来の車両性能や安全性に加えて、ソフトウェアの使いやすさ、アップデートの頻度、データプライバシーの保護など、新たな評価軸が生まれています。3つ目は自動車が担う社会的役割の変化です。SDVが生成する様々なデータを社会インフラの一部としてどのように活用していくのか、その方向性も問われています。

 

荻野:田丸さんのご指摘の通り、SDV時代における業界全体の変革には、様々なステークホルダー間の連携が不可欠です。IoT業界全体で既に進んでいる新しい協力体制の構築は、自動車産業にとっても重要な示唆を与えています。特に、セキュリティやデータ活用の標準化、さらには将来的なアップグレードや資産価値の維持といった課題に対して、業界を超えた協力関係を築いていく必要があるでしょう。

 

上原:最後に、この大きな変革をどのように受け止め、進めていくべきかについて、それぞれのお立場からお考えをお聞かせください。

 

荻野:重要なのは、セキュリティに対する考え方の転換です。これまでの企画段階からセキュリティを考慮する「セキュリティ バイ デザイン」アプローチに加えて、「セキュリティ バイ デマンド」という新しい考え方が必要になってきています。これはメーカーだけでなく調達側も主体的にセキュリティ要件を定義し、認証制度を活用して検証していく取り組みです。OEMメーカーもサプライヤーも、サプライチェーン全体でこの新しいセキュリティの考え方を実践していく必要があると考えています。

 

田丸:SDVが抱える課題を克服するには、まず自動車メーカーが明確なビジョンを示す必要があります。例えば、どのようなデータを取得し、どのように活用するのか、セキュリティやプライバシーをどのように確保するのかなど、具体的な方向性を明示しなければなりません。これによって各企業や利用者、そして社会全体がそれぞれの役割を適切に理解し、実行できるのです。

 

上原:本日の議論を通じて、SDV時代における自動車産業の向かうべき方向が見えてきたように思います。日本のOEMは他国と比べて 良く言えば慎重、悪く言えば保守的で 新しいものを取り込むのがやや遅いと言われています。一方でそうであるが故に品質と安全に徹底的にこだわり、それが世界から受け入れられ、信頼を勝ち得てきたと考えております。新たなSDV時代においても この考え方・姿勢は必ず受け入れられるものと信じています。この誇るべき伝統「品質と安全へのこだわり」を堅持しつつ新しい価値を生み出していく。そのために必要な変革を、私たちは恐れずに受け入れていかなければならないですね。本日はありがとうございました。

プロフェッショナル

泊 輝幸/Teruyuki Tomari

泊 輝幸/Teruyuki Tomari

デロイト トーマツ サイバー合同会社 執行役員

情報セキュリティ、危機管理、事業継続管理、等のリスクマネジメント全般のコンサルティングを多数手掛ける。 近年はサイバーセキュリティ領域に主軸を置き、サイバーセキュリティ戦略立案、対策導入、等のコンサルティングに加え、24時間365日でサイバー脅威を分析・監視するDeloitte Cyber Intelligence Center(CIC)の統括責任者を務める。 また、デロイト自動車セクターにおけるリスクアドバイザリー領域の日本責任者でもあり、コネクティッドカー領域や、工場設備制御領域のセキュリティも手掛ける。