Blog
2026年5月22日
自動車産業がSDVへと本格的に移行する中で、自動運転システムのアーキテクチャは大きな変革期を迎えています 。従来のルールベース制御から、視覚言語モデル(VLM: Vision-Language Models)を活用したエンドツーエンド学習モデルへの進化が加速しており、これにより複雑な道路状況を人間のように理解し、走行性能を飛躍的に向上させることが可能となりました 。 しかし、この技術的進歩の裏側には、推論ロジックの不透明性という致命的なリスクが潜んでいます 。ここで言う「不透明性」とは、数兆個のパラメータで構成されたAIモデルが、特定の状況下でなぜそのような判断を下したのか、人間がその因果関係を明確に追跡・説明できない「ブラックボックス」状態を指します 。過去のルールベース・システムでは、「赤信号なら停止する」という明確なコードが存在し、エラーの原因を即座に特定できました 。しかし、高度化したAIは人間の「直観」に近い形でデータを処理するため、内部の計算過程が極めて複雑であり、セキュリティ上の脆弱性を事前に、完全に検証することが非常に困難です 。 同時にセキュリティの観点では、この不透明性を突いた攻撃表面の拡大という新たな課題をもたらしました 。最近報告されたCHAI(Command Hijacking Against Embodied AI)攻撃は、まさにこの点を突いています 。ハードウェアやソフトウェアに一行のバグも存在しない状態で、AIが状況を解釈する「論理」そのものをハイジャックし、歩行者を認識していながら走行を継続させることが可能になったからです 。自動運転設計のパラダイムはデータの量を増やす段階を超え、AIの不透明な判断をいかに決定論的なルールに基づいて監視し、保証するかへと転換されなければなりません。そこで今回の記事では、次世代AIが抱える「論理的脆弱性」の実態をCHAI攻撃の分析を通じて明らかにし、それを克服するためのアプローチである「セマンティック・ガードレール(Semantic Guardrail)」の実装戦略について掘り下げます。 新たなセキュリティ脅威:CHAI攻撃の実体 米国カリフォルニア大学サンタクルーズ校(UCSC)とジョンズ・ホプキンス大学の研究チームが発表したCHAI(Command Hijacking Against Embodied AI)と呼ばれる新しい攻撃手法はシステムへの侵入ではなく、AIが認識する「意味(Semantics)」そのものを乗っ取る、いわば「物理空間における間接的プロンプトインジェクション(Indirect […]
2026年5月1日
自動車産業のパラダイムがハードウェア中心からソフトウェア中心の車両、すなわちSDV(Software Defined Vehicle)へと急激にシフトする中で、メーカーのリスク管理戦略にも抜本的な変革が求められています。かつてのリコールが、膨大なコストとブランドイメージの低下を伴う「物理的な部品交換」を意味していたとすれば、これからはSDVとOTA(Over-the-Air)技術を活用し、欠陥を先制的に防御してコストを最適化する「デジタルガバナンス」の時代へと突入しています。 SDVにおけるRxSWINと車両ソフトウェア構成の管理 SDV時代における車両のアイデンティティは、もはや出荷時のハードウェアスペックではなく、搭載されているソフトウェアのバージョンによって定義されます。その中核をなす概念が、ソフトウェア識別番号である「RxSWIN」です。RxSWINは、車両に搭載されている機能や安全に関わる仕様、自動運転機能の作動条件などを示す、いわば「デジタル指紋」のような役割を果たします。そのため、特定のソフトウェアモジュールに不具合が見つかった場合でも、RxSWINをもとに影響を受ける車両を速やかに特定できます。これにより、従来のように対象を広く見積もって全車両を確認する必要がなくなり、リコールの対象範囲を最小限に抑えられる点は、次世代の車両設計における大きなメリットといえるでしょう。 RxSWINとは? RxSWIN(Rx Software Identification Number)は、国連規則UN-R156で定義される、型式認証に関連するソフトウェアを識別するための番号です。 従来は、ECUごとの部品番号やソフトウェア番号を中心に管理されてきましたが、SDVでは多数のソフトウェアが車両全体の機能や安全性に関わるため、個別管理だけでは、どのソフトウェア構成が認証済みの状態なのかを把握しにくくなります。RxSWINを用いることで、メーカーは車両に搭載されたソフトウェア構成と、型式認証上承認された構成との対応関係を管理しやすくなります。また、不具合が見つかった場合には、対象となるソフトウェア構成をもつ車両を絞り込みやすくなるため、不要な調査やリコール範囲の拡大を抑えるうえでも重要な役割を果たします。 UN-R156/SUMS準拠を考慮した論理アーキテクチャ設計 第24回UN自動運転専門分科会(GRVA)などの国際社会は、ソフトウェアアップデートの安全性を確保するため、UN-R156(ソフトウェアアップデート管理システム)の規定を強化しています。OEMはソフトウェアによるリスクを最小化するために、以下の法的・技術的要件をアーキテクチャの設計段階から反映しなければなりません。 【主要な技術的必須要件】 SUMSに基づく更新管理 ソフトウェア更新の内容、対象車両、適用時期、影響範囲を記録・管理できる仕組みが必要です。これにより、不具合が発生した場合でも、原因の特定や対象車両の絞り込みを迅速に行うことができます。 RxSWINとの整合性管理 車両に搭載されているソフトウェア構成が、型式認証上承認された構成と一致しているかを確認できることが重要です。特に、認証に関わるソフトウェアを更新する場合は、RxSWINとの対応関係を明確に管理する必要があります。 アップデート時のセキュリティ確保 ソフトウェア更新の配信・適用過程では、改ざんや不正な更新を防ぐため、コード署名、認証、整合性確認などのセキュリティ対策が不可欠です。 OTA更新時の安全性と復旧手段 OTAによる更新では、更新を安全に実行できる状態であるかを事前に確認する必要があります。また、更新に失敗した場合に備え、安定した状態へ戻すための復旧手段を設計しておくことも重要です。 変更影響の評価と検証プロセス ソフトウェア更新によって、認証要件や安全機能にどのような影響が生じるかを評価するプロセスが必要です。差分検証やシミュレーションを活用することで、検証範囲を効率化しつつ、リリース前のリスクを低減できます。 […]
2026年4月10日
グローバル自動車市場において、SDV(ソフトウェア定義車両)への転換はもはや未来のビジョンではなく、目の前の現実になりつつあります。日本の自動車業界でも、次世代モビリティの主導権を握るべくソフトウェア開発への巨額の投資が行われています。しかし、この華々しい進化の裏で、見過ごされがちな問いがあります。「何百万行ものコードで動く安全重視の機械(クルマ)は、出荷後も本当に安全に管理されているのか?」電気自動車(EV)をはじめとする現代の車両は、車輪のついたスマートフォンではありません。人命を預かる複雑なシステムです。 ソフトウェアの影、便利さが招く「リコールの急増」 従来の自動車は、工場を出荷された時点で「完成品」でした。しかしSDVは違います。OTA(Over-the-Air)アップデートを通じて、購入後も性能や機能が変化し続けます。リコールのために販売店へ車を持ち込む手間が省けるため、OTAは「画期的な解決策」としてもてはやされています。 しかし現実には、OTAの普及と比例するようにグローバル市場でのソフトウェア起因のリコールが急増しています。ある機能のバグを修正するためのアップデートが、部品を共有する別システムに予期せぬ不具合を引き起こし、結果として二次・三次の連鎖的なリコールを引き起こす「リコールのパラドックス」が発生しているのです。 「手戻り」の危機:なぜソフトウェアの修正は失敗するのか ソフトウェアリコールがもたらす最も深刻な経営リスクは「再作業(手戻り)の繰り返し」です。グローバル市場における大規模な統合充電制御装置(ICCU)の不具合事例などを見ても、ソフトウェアアップデートによる一時しのぎの対応では根本原因を解決できず、最終的に巨額のコストを伴う部品交換(ハードウェア保証の延長)に追い込まれるケースが散見されます。米国の自動車業界レポート(AutoSoftToday, 2025)によると、ソフトウェアの修正が失敗する原因は、主に以下の5つのパターンに分類されます。これは特定の企業の失敗ではなく、SDV転換期における構造的な問題です。 不完全な修正 (42%) : 複雑なモジュール間の依存関係を考慮せず、根本原因を解決できていない状態での配信 OTA配信の失敗 (18%) : アップデート自体のインストール失敗や、新たなバグの誘発 ハードウェア交換の必要性 (15%) : ソフトウェアだけでは解決できず、結局部品交換のキャンペーンが必要となるケース 検証のギャップ (13%) : ラボ環境では正常でも、実際の走行パターンや温度など、現場の変数が検証に反映されていないケース 影響範囲の拡大 […]
2026年3月19日
2026年11月29日、EUでは乗用車・バンの新型車に対してEURO 7の適用が始まります。EURO 7は、2024年4月に採択されたEU規則 2024/1257に基づく新しい型式認証ルールです。ここで見落とせないのは、これが単なる排気ガス規制のアップデートではないという点です。排出ガス、バッテリー、車載データ、そして改ざん防止まで含めて、車両全体の信頼性が問われる時代に入ったと言えます。 EURO 7とは何か?ユーロ6との違い EURO 7は、一見するとユーロ6の延長線上にある規制のように見えますが、実際には規制の適用範囲が大きく広がっています。排気由来の汚染物質だけでなく、ブレーキダストやタイヤ摩耗による粒子といった非排気粒子も規制対象となり、EVやPHEVにはバッテリー耐久性の最低性能基準も新たに設けられました。乗用車を例に挙げると、5年または10万km時点でバッテリー健全度(State of Health、SOH)80%以上、8年または16万km時点で72%以上の維持が求められます。まさに、排気ガスだけでなく、車両全体の環境性能が問われる規制へと変わりつつあるのです。 さらに見逃せないのが、EURO 7が「In-service Conformity(市販後の適合性維持)」を前提としていることです。型式認証の取得時点だけ基準を満たせばよいのではなく、販売後も継続して基準への適合を維持することが求められます。OEMやサプライヤーにとっては、認証試験の通過がゴールではありません。量産後の運用まで見据えた開発体制や管理体制を構築できるかどうかが、EURO 7対応の重要なポイントになるでしょう。 EURO 7の適用時期 段階 対象車両 適用時期 規制採択 EU Regulation (EU) 2024/1257 […]
2026年1月23日
近年、日本の自動車業界における最大のトピックは間違いなく「サイバーセキュリティ」です。国土交通省が道路運送車両法の保安基準を改正し、UN-R155(サイバーセキュリティ法規)への適合を義務付けたことにより、セキュリティはもはや「選択」ではなく、販売のための「必須条件」となりました。これに伴い、以下の2つの基準を満たすことが、これからの自動車業界にとって重要になっています。 UN-R155: 自動車メーカー(OEM)が実施すべきセキュリティ活動を定義 ISO/SAE 21434: 上記を遵守するためのプロセスやエンジニアリングの国際標準 しかし、現場の皆様は一つの大きな課題に直面しているのではないでしょうか。それは、ガイドラインが「手順」は示してくれても、「実際にどう技術を適用して車を守るか」という具体的な実装解までは教えてくれないという点です。特に技術的な観点において、「どれほど強力な暗号アルゴリズムを採用しても、その鍵(Key)が漏えいすれば全てのセキュリティは無効化される」という事実は見落とされがちです。結局のところ、セキュリティの成否はアルゴリズムそのものではなく、それを運用する「鍵(Key)」の管理にかかっています。本記事では、自動車セキュリティの根幹となる「鍵管理(Key Management)」について、SDV時代のサプライチェーンリスクと照らし合わせながら説明します。 なぜ今、自動車セキュリティで「鍵管理」が重要なのか? 自動車セキュリティの国際標準である ISO/SAE 21434では、暗号鍵や証明書を含むセキュリティ資産を車両ライフサイクル全体で適切に管理することが求められており、その実現手段として KMS(Key Management System)のような仕組みが実務上不可欠になりつつあります。一方、自動車環境における鍵管理は一般的なIT環境とは比較にならないほど複雑かつ過酷です。 膨大な制御ユニット(ECU): 車両1台あたり数十〜百個以上のECUが存在し、それぞれに固有の鍵が必要です。 複雑なサプライチェーン: OEMとTier 1、Tier 2といったサプライヤー間での安全な鍵の受け渡しが必須となります。 長期にわたるライフサイクル: 車両が製造され、10年以上走行し、廃棄されるまでの長期間、鍵の安全性と更新性を保証しなければなりません。 もし鍵管理に不備があれば、それは単なるバグではなく、UN-R155やISO/SAE 21434のTARA(脅威分析及びリスク評価)において「高リスク項目」として分類され、CSMS認証やVTA取得に悪影響を及ぼす可能性があります。 特に、SDV(Software Defined […]
2025年12月16日
レベル3以上の自動運転システム(ADS)の実用化が加速する中、日本の自動車業界にとって最大の課題は「いかにしてシステムの安全性を証明するか」という点にありました。これまでガイドライン的な位置付けであったISO/TR 4804はすでにISO/TS 5083に置き換えられ、ガイドラインからより具体的な技術仕様へと進化しました。こうした状況下で登場した ISO/TS 5083 (Road vehicles — Safety for automated driving systems) は自動車業界に明確な解を提示しています。この規格は単なるテスト項目のリストではありません。自動運転システム(ADS)の設計、検証、妥当性確認(V&V)の全工程を網羅する最上位の技術仕様書であり、自動運転車が公道を走行するために不可欠な「安全性への説明責任(Accountability)」を体系化した文書です。本記事では、ISO/TS 5083が既存のISO 26262やISO 21448とどのような関係にあり、開発現場において何を準備すべきかについて解説します。 ISO/TS 5083の全体像:安全ライフサイクルと規格構成 ISO/TS 5083規格は、設計(Design)・検証(Verification)・妥当性確認(Validation)の各プロセスをV字モデルとして体系化しており、自動運転システム(ADS)開発における一連の安全活動を包括しています。ISO/TS 5083に基づくと、自動運転システム(ADS)の安全開発は以下のようなフローで進行します。 コンセプト・要件定義段階 すべての起点はODD(運行設計領域)の定義です。「どこで・どのような条件で走るか」を明確にします。これと並行して、RAC(リスク受容基準)を設定し、「どの程度のリスクまでなら許容されるか」という定量的なゴールを策定します。 開発・設計段階 […]
2025年11月25日
近年、自動車業界では「ソフトウェア定義車両(Software-Defined Vehicle:SDV)」という言葉を耳にする機会が増えています。簡単に言うと、SDVはこれまでの「機械としてのクルマ」から、「コンピュータとしてのクルマ」へと大きくシフトしていく流れのことです。その中心にいるのが、高い処理能力と計算能力を備えた高性能コンピュータ(HPC:High Performance Computer)です。クルマの中に、まるでデータセンターのサーバーが載っているようなイメージです。このHPCがあるからこそ、ソフトウェア定義車両(SDV)は周囲の状況をリアルタイムに理解し、自ら判断して動く高い自律性や、クラウドや他の車両・インフラとつながる高い相互接続性を手に入れることができます。 一方で、「車両診断」という観点から見ると、ここには大きなパラダイムシフトが生まれようとしています。これまでの診断基準は、主にセンサーやアクチュエーター、その配線、ECU間をつなぐバスシステムの故障を見つけることに焦点を当ててきました。例えば、「このセンサーの値がおかしい」「このECUとの通信が途切れている」といった、ハードウェアや配線レベルのトラブルを検出することが中心でした。 しかし、HPCによって駆動されるSDVでは、それだけでは不十分となる可能性があります。「どこかの部品が壊れているかどうか」を見るだけではなく、HPC上で動作している複雑なソフトウェアそのものについても、その動作状況を詳細に分析し、異常や不具合を的確に診断する必要があります。つまり、SDV時代の診断は、従来のようなハードウェア中心の「壊れた部品探し」から、「ソフトウェアとハードウェアを一体として捉え、そのライフサイクル全体を管理・検証する診断」へと役割が拡大しています。こうした新しい要求が、従来とは異なる新たな診断基準や診断フレームワークを定義する動きにつながっており、その代表例の一つが本稿で取り上げるSOVD(Service Oriented Vehicle Diagnostics)です。 SOVDとは何か 従来の車両診断は、車載ECU(電子制御ユニット)ごとに個別に設計された診断プロトコル(主にUDS:Unified Diagnostic Services)を使って行われてきました。現在もこのアプローチは広く利用されていますが、近年のSDV化によって車両ソフトウェアが複雑化し、HPCをはじめとする車載コンピュータの役割が拡大する中で、ECU単位での診断だけでは将来の要求を十分に満たしきれないのではないかという課題が指摘されるようになってきました。 この課題に対応するため、業界標準の整備を行う団体であるASAM(Association for Standardisation of Automation and Measuring Systems)がSOVDの標準化プロジェクトを立ち上げました。ASAMは、車両の診断・試験・検証に関する標準的な仕様を策定し、国際的に普及させることで、自動車メーカーやサプライヤー間の製品やサービスの互換性を高めつつ、診断の高度化と効率化を促進している団体です。SOVD(Service Oriented Vehicle Diagnostics)は、その名のとおり車両診断を「サービス」として捉え直すための標準です。従来の診断では、診断テスターと各ECUが直接対話し、UDS(ISO 14229)などのプロトコルを用いてECU単位でDTCを読み出したり、計測値を取得したり、ソフトウェアを書き換えたりしていました。これに対してSOVDは、車両内に存在する診断機能や状態情報を「サービス群」として抽象化し、そのサービスに対して工場の診断機器、クラウド上のバックエンドシステム、HPC上で動作する車内アプリケーションなど、さまざまなクライアントが共通のインターフェースとデータモデルでアクセスできるようにすることを目指します。言い換えれば、車両全体を「診断サービスを提供するプラットフォーム」と見なし、その入り口を統一するためのAPI仕様がSOVDです。なお、ASAMで策定されたSOVDの内容は、現在ISO […]
2025年10月31日
量子コンピューターの急速な進化により、私たちのデジタル社会を支えてきた暗号技術はかつてない危機に直面しています。特に、コネクテッドカーや自動運転車が普及する自動車業界では、その影響が極めて大きくなると予測されています。本稿では、量子コンピューターによって生じる脅威とそれに対抗する「耐量子計算機暗号(Post-Quantum Cryptography:PQC)」の必要性、さらには日本を含む各国の取り組みについて解説します。 PQCとは何か 耐量子計算機暗号(Post-Quantum Cryptography:PQC)は量子コンピューターによる攻撃にも耐えられるよう設計された新しい暗号技術です。量子暗号通信のように量子現象を利用するのではなく、現在のコンピューター上で動作し、既存のシステムと互換性を保ちながら安全性を確保することを目的としています。 量子コンピューターがもたらす暗号の危機 現在、広く使われている素因数分解に基づく暗号方式(Rivest Shamir Adleman:RSA)および楕円曲線暗号(ECC)は素因数分解の困難さ・離散対数問題の困難さなどの数学的問題に依存した暗号方式です。これらは従来型コンピューターでは解読に数百万年を要するほど安全とされてきました。しかし、量子コンピューターが実用化されれば事情は一変します。ショアのアルゴリズム(量子アルゴリズム)を活用することで、RSA-2048やECC-256といった暗号は数時間で解読可能になると予測されています。専門家によれば、2030年代半ばには暗号解読ができる「暗号的に関連する量子コンピューター」が登場する可能性があります。 さらに懸念されるのが「Harvest Now, Decrypt Later(今収集し、後で解読する)」攻撃です。これは、現在暗号化されている重要データを大量に収集し、量子コンピューターが実用化された後に解読を試みる手法です。企業の知的財産、R&Dデータ、または自動車関連の設計情報など、長期間価値を持つデータほどリスクが高くなります。 新しい暗号方式の標準化:NISTの取り組み 暗号が量子計算機により破られるリスクに対処するには、単に「新しい暗号」を用意するだけでは不十分です。(1) 鍵共有(キー合意)の置き換え、(2) 電子署名の置き換え、(3) 既存プロトコルへの統合と段階移行(ハイブリッド)、(4) 将来の更新に耐える暗号アジリティ—少なくともこの四点を満たす体系的な対策が必要でした。 この要件に応えるかたちで、米国のNISTは2016年にPQC標準化プロジェクトを開始し、複数ラウンドの公開評価を経て2024年8月に鍵共有用のML-KEM(FIPS 203)、署名用のML-DSA(FIPS 204)とSLH-DSA(FIPS 205)を最終標準として公表しました。これにより、従来のRSA/ECCが担っていた役割に対する量子耐性の「正規の後継部品」が初めて揃ったことになります。 […]
2025年8月22日
自動運転の未来がついに日本の路上で現実のものとなりつつあります。2025年はレベル4の自動運転バスがすでに公道を走り始め、海外からは先進的なロボタクシーがテスト走行を開始するなど、多くの人が「未来の乗り物」を肌で感じられるようになった記念すべき年です。この急速な変化は、単なる技術の進歩だけによってもたらされたわけではありません。日本政府がこれを国家戦略と位置づけ、官民一体となって「モビリティ革命」を推し進めている結果です。特に車がソフトウェアによって定義され、スマートフォンのように進化し続けるSDV(Software Defined Vehicle)はこの革命の中核をなすコンセプトです。 本記事では、この大きな変革期を「政策・実証・技術」という3つの視点から多角的に分析します。激化するグローバル競争の中、日本は2030年までにSDV市場で30%のシェア獲得という目標を掲げています。まさに「社会実装元年」と呼ぶにふさわしい2025年、日本がどのように未来のモビリティを切り拓いていくのか、その現在地と今後の展望を詳しく見ていきましょう。 日本の自動運転の概況 レベル4の社会実装へ 日本の自動運転技術はSAE(米国自動車技術会)が定める国際基準のレベル0から5の分類に沿って着実に開発が進められています。特定の条件下でシステムが運転を担うレベル3はすでに市販車にも搭載されています。その先駆けとなったのがホンダが2021年3月に発表した「レジェンド(LEGEND)」です。このモデルには世界で初めて認可されたレベル3技術「Honda SENSING Elite」が搭載され、DMPのHDマップを活用することで高速道路でのハンズオフ走行を可能にしました。 そして現在、日本の挑戦は特定のエリア内で運転手が不要となるレベル4の社会実装へと向かっています。その象徴的な事例が福井県永平寺町で2023年5月から運行している国内初のレベル4自動運転サービスです。さらに2025年2月には茨城県ひたち市で中型バスによるレベル4の営業運行がスタートし、約6.1kmという国内最長のルートで実用化を果たしました。 これらの成功事例を足がかりに政府は2025年度までに全国50カ所、2027年度までには100カ所以上で同様のサービスを展開するという目標を掲げており、日本各地で自動運転が日常の風景になる日もそう遠くないかもしれません。 国家戦略とそれを支える法制度 日本の自動運転開発は個々の企業の努力だけでなく、政府による強力なリーダーシップに支えられています。その中核をなすのが2024年5月経済産業省と国土交通省が共同で策定した「モビリティDX戦略」です。この戦略はSDVのグローバル販売台数における「日系シェア3割」の実現という野心的な目標を掲げ、①協調領域での開発加速②ソフトウェア中心の産業構造への転換③半導体供給網などの経済安全保障強化という3つの柱を明確に示しています。 ■ 社会実装を可能にする法整備 この国家戦略を実現するため、具体的な法制度の整備も同時に進められています。まず2023年4月に施行された改正道路交通法はレベル4自動運転の公道走行を正式な「許可制度」として創設しました。これにより事業者は明確な法的根拠のもと、自動運転サービスを事業として展開できるようになりました。 ■ SDV時代の新たな安全基準:サイバーセキュリティ規制 さらに、車両のSDV化はOTAによる利便性の向上と同時にサイバー攻撃のリスクという新たな課題を生み出しました。これに対応するため、日本は国連の国際基準であるUN-R155(サイバーセキュリティ)およびUN-R156(ソフトウェアアップデート)を国内法に迅速に導入。自動車メーカーに対して車両の設計から廃棄までのライフサイクル全体を通じたセキュリティ管理体制(CSMS/SUMS)の構築を義務付け、デジタル時代の新たな安全基準を確立しました。 ■ 挑戦を後押しする支援策 こうした制度設計と並行し、政府は「RoAD to the […]
