モビリティ

自動運転車技術の向上とともに増加が懸念される「サイバー攻撃リスク」に対応するため、国連組織のWP29（自動車基準調和世界フォーラム）は、傘下のGRVA分科会内にCS（Cyber Security：サイバーセキュリティ）とSU（Software Update：ソフトウェアアップデート）に関わる専門家会議を新設しました。同専門家会議によって新たに取りまとめられたCS/SU規則は2020年6月24日に採択、2021年1月に発効され、日本においては2022年7月から本規則の適用が求められます。 WP29加盟国には本規則への適用が義務付けられているためその影響は大きく、日本政府には新たな法規整備が、メーカー・サプライヤーには規則準拠の生産体制の早急な整備が求められています。 そこで本記事では、WP29及びCS/SU規則の詳細と、各メーカ・サプライヤーが求められる対応について解説していきます。 また、そもそも「自動車サイバーセキュリティの必要性」を疑問に感じる方は、以下の記事を一読いただいてから本記事をお読みいただくと、一層理解が深まるかと思います。 自動車の技術革新がもたらす未来と、サイバーセキュリティ対策の必要性とは？   WP29とはなにか？ WP29は、国や地域ごとにバラバラな自動車に関する保安基準・法規基準を統一し、「安全な自動車」の世界流通を目的とした組織です。WP29に加盟している国は、自動車の国際的な流通活動をするにあたり、必ずWP29で策定された法規を自国の法規に反映させる必要があります。 正式名称は「自動車基準調和世界フォーラム WP29」で、国連欧州経済委員会の傘下に属しています。WP29は1つの運営委員会と6つの専門分科会で構成されており、各分科会で専門家による検討会議を行うことで、国際的な法規・技術基準案の策定・審議・採決を行います。 自動運転車のサイバーセキュリティについては、「GRVA」という専門分科会にて議論されており、本記事のテーマである「CS/SU規則」もGRVAで策定された法規基準です。   WP29の活動と日本 自動車が国の重要産業でもある日本は、自動運転に関わる制度整備に積極的に取り組んでいます。WP29 GRVAのサイバーセキュリティ専門家会議でも、日本は英国と共同で議長を務めており、国際的な法規基準策定の場で積極的にイニシアチブを取っている様子が伺えます。 また2020年4月には、当時まだWP29 GRVAにて議論中であったCS/SU規則※を反映した「改正道路運送車両法」を施行するなど、世界に先駆けた制度整備が進められています。 ※CS/SU規則：サイバーセキュリティ/ソフトウェアアップデート規則   WP29が自動車メーカー・サプライヤーに求める対応 本章ではWP29が採択したCS/SU新規則と、従来の自動車セキュリティ基準とを比較し、中でも重要な変更点に着目して解説していきます。正確な規則内容を把握したい方は、WP29 GRVAが公開している公式資料をご覧いただくと良いでしょう。 最大の変更点は「プロセス認可」の導入 WP29 […]

近年「自動車のIoT化」や「自動運転」に代表されるように、いわゆる「モビリティ社会」の実現へ向けた動きが世界規模で活発化しています。例えば日本では、2030年までに完全自動運転車（レベル5相当）の実用化を目指していますし、電気自動車や自動車のIoT化に関する技術発展も顕著です。これに、Uberを始めとする「シェアリングエコノミー」拡大の波が重なることで、自動車の所有や運転から解放される新たな世界の到来が、すぐそこまで近づいてきています。このように、自動車業界が「100年に１度」ともいわれる技術的大変革期を迎える中、それに伴い、最も深刻な課題として日夜議論され続けているテーマが「自動車セキュリティ」です。 そこで本記事では、自動車の技術的大変革がもたらす未来と、自動車サイバーセキュリティ対策の必要性について詳しく解説していきます。   自動車の未来とサイバーセキュリティの必要性 自動車の技術的進歩がもたらす未来を知るにあたり、まず触れておきたいのが「CASE」という概念です。CASEは、自動車がネットワークにつながり（Connected）、完全自動化し（Autonomous）、シェアされ（Shared and Services）、電動化する（Electric）という4つの概念・技術課題のことを意味する造語です。 CASEが実現することでまったく新しい「モビリティ社会」が訪れることは間違いありませんが、そのためには自動車の「サイバーセキュリティ対策」が欠かせません。本章では、現状のCASEが抱えているセキュリティ課題について解説していきます。 Connected（ネットワークへの接続） 車はネットワークにつながることで単なる「移動手段」ではなく、人の暮らしをあらゆる側面からサポートする「走るITデバイス」として進化し、これまでにない新たなサービス体験をもたらします。しかし一方で、車がネットにつながることにより、ネットから車へ攻撃されるリスクが生じることも事実です。以降で紹介するCASEのセキュリティ課題のほぼすべての共通点は「ネットから侵入され攻撃される」ことであり、つまり「Connected」こそがあらゆる攻撃の起点となってしまうのです。 例えば、車がリモートで攻撃され車両の操作権を奪われたり、車に保存されている個人情報が流出するなどのケースは十分に考えられます。事実として、これまでに「コネクテッドカー※」として販売された高級車においては、すでに複数のハッキング攻撃事例が報告されているのです。 2020年1月、MobieyeとテスラのADASおよびオートパイロットシステムが欺かれ、ブレーキをリモートで操作されて対向車線に侵入。 2020年8月、ハッカーがサーバ側の脆弱性を突いてテスラ製コネクテッドカーの車両全体の制御権を奪うことに成功。 Autonomous（自動運転） 自動運転を実現するには、自動運転システムが直接外部と通信を行い、各種道路交通情報や車載センサー等のデータを相互的にやり取りする必要があります。この際の通信相手は、各種ソフトウェア開発事業者、運行管理システム提供者、車車間通信（V2V）、路車間通信（V2I）など多岐にわたりますが、それはすなわち、同じ数だけの侵入経路が存在するということと同義です。 また、自動運転技術に欠かせない「機械学習」や「深層学習」に基づくAI技術に対する攻撃にも警戒が必要です。「学習済みモデル」を改ざんしたり、AIを欺くようなデータを送り付け誤検知を誘発するなど、実証されている攻撃方法はすでに多数報告されています。 このように、自動運転は革新的な技術ゆえに、その実現には膨大かつ複雑なシステムの実装・連携が欠かせませんが、複雑であればあるほど「脆弱性」が生まれる確率は高まります。最新の旅客機を動かすプログラムコード（1500万行）の20倍のコ―ドが必要とされる自動運転車を安全に提供するためには、より多面的・多層的で、他のどんなIoTよりも強固なセキュリティ対策が求められます。 Shared and Services（シェアリングとサービス） 2016年9月に行われた「パリモーターショー2016」にて、CASEの概念を世界に初めて発表した自動車大手メルセデス・ベンツ社は、今後10年でカーシェアリングビジネスがモビリティ社会を支配すると予想しました。 従来、車とは「個人所有」が当たり前であり、自分の車（特に車内）にアクセスできるのは所有者だけでした。よって「車内に侵入されたこと」を前提にした対策はなされず、そもそもその必要性すらありませんでした。しかし、上述の予想が正しいとすれば、CASEの実現によって車は「所有するもの」から「借りるもの/利用するもの」へと変わり、私たちは、過去に誰が接触しどんな細工をしたかも分からない車を日常的に利用する事になるのです。その違和感に気づかないまま。 こういった車両改造等のリスクを防ぐためには、自動車メーカー・サプライヤーの努力だけでは不十分であり、シェアリングサービスを提供する民間企業と行政間での密な連携が求められます。 Electoric（電動化） 自動車の電動化と聞くと「ガソリンじゃなく電気で走る（だけ）」と思うかもしれませんが、電動化の魅力はそれだけではありません。エンジン不要により空いたスペースにECUや各種センサーを搭載でき、ハンドルによる物理操作はより精密な電子制御へ、物理制御ゆえの複雑な機構をシンプルなものへと改善できます。車のあらゆる機能がソフトウェアによって電子的に制御されることで、自動車はこれまでと比較にならないほどフレキシブルかつインタラクティブなサービス提供が可能になるのです。 一方でやはり課題は「サイバー攻撃対策」です。ソフトウェアには実装・改善が容易というメリットがありますが、攻撃者の存在を考慮すると、それらは同時にデメリットにもなり得ます。既述のように、車載ソフトウェアが増えれば増えるほど攻撃起点は増加するため、さらなるセキュリティ対策が必要となります。 […]