PSIRT

これからの自動車は組み込みソフトウェア、高度化されたECUによってインタネット、他の車両との通信、リアルタイムで交通情報の受信などの機能が可能になると予測されています。あらゆるものと繋がっている自動車は利便性が高いものの、侵入経路として利用される可能性もあるので、適切なサイバーセキュリティ対策を講じておく必要があります。したがって、自動車のサイバーセキュリティは製造/開発段階での実装が必要なのは当然だと言えます。しかし、製造/開発段階での実装では不十分です。サイバー攻撃は時間の経過により新しい手法が生まれているため、変化していく脅威に対応するためには、持続的なセキュリティアップデートが必要になります。そこで、本記事では出荷後のサイバーセキュリティ対策の要となるvSOC、PSIRTの重要性について詳しく解説します。   出荷後の自動車にサイバーセキュリティは必要？ サイバーセキュリティ法規として「UN-R155」がありますが、これは車両のサイバーセキュリティに関する国連規制です。国連欧州経済委員会/UNECEの下部組織であるWP.29/World Forum for harmonization of vehicle regulations party 29によって採択されていますが、日本もこの法規制への対応を決定しており準拠するための法規制が進められています。いつからUN-R155が適用されるかというと、それでは段階的に行われることが決まっています。それは以下のとおりです。 ・2022年7月　OTA対応の新型車 ・2024年1月　OTA未対応の新型車 ・2024年7月　OTA対応の継続生産車 ・2026年5月　OTA未対応の継続生産者 OTAとはインターネット回線を経由してソフトウェアをアップデートする技術ですが、この技術に対応しているかどうか、そして新型車なのか以前から生産されていた継続生産車なのかどうかによって適用時期が異なります。WP.29で採択されたもう一つの法規「UN-R156」はソフトウェアアップデートに関する法規となります。そして国土交通省が公開している文書でも、これらへの対応のため、規制の改正を行っていくことが明文化されています。 4-3．サイバーセキュリティ及びプログラム等改変システムに係る基準（UN-R155 及び UN-R156）https://www.mlit.go.jp/common/001373651.pdf また国際標準規格「ISO／SAE 21434」では、自動車において必要となるサイバーセキュリティ管理・活動などが要求事項として規定されています。自動車出荷後の運用だけでなく廃車に至るまで、自動車のライフサイクル全体がサイバーセキュリティ観点で要求されているのです。他に車載ソフトウェアの開発プロセスのフレームワークを定めたものとしては、Automotive SPICEがありますが、これは車載ソフトウェアの品質確保目的としており、ISO/IEC 15504に準拠したプロセスモデルとなります。このように関連する規制を見ていくと自動車のサイバーセキュリティ対策は国際的及び国内の法規制から見ても、開発段階だけでなく出荷後も対策することが必要となっているのです。   UN-R155、ISO/SAE […]