自動車のセキュリティー対策が必須の時代に突入した。クルマがハッキングされた場合に、自動車メーカーが責任を問われる事例が出てきたからだ。「技術者塾」で「コネクテッドカーに必須のセキュリティ技術」の講座を持つ、ヴィッツ 組込セキュリティPF開発部 組込セキュリティPF開発室 室長の杉山 歩氏に、自動車おけるセキュリティー分野で何が起きているのかを聞いた。(聞き手は近岡 裕)
今、自動車におけるセキュリティー対策が注目を集めています。その理由は何でしょうか。
杉山氏:自動車に対するハッキングの危険性は2010年頃から発表されていました。でも、その時点ではまだ自動車に対するセキュリティー対策に注目が集まることはありませんでした。当時、世界の自動車業界を代表する考えは「自動車に侵入してCANバスに直接アクセスすれば、自動車の制御を自由に乗っ取れるのは当たり前」であり、「対策は不要」というものだったのです。
ところが、2015年夏に世界の自動車業界を震撼させる“事件”が発生しました。米FCA US社(旧Chrysler社)の「ジープ・チェロキー(Jeepブランド Cherokee)」がハッキングされたのです。世界の自動車業界が震え上がったのは、自動車に侵入せず、完全な遠隔攻撃によってクルマの制御が乗っ取られたからです。クルマに乗った人が何も操作していないのに、走行中にエアコンやラジオが勝手にONになったりチャンネルが変わったりし、ワイパーが動いて、アクセルやブレーキが効かなくなりました。結果、米FCA US社はリコールを実施することを余儀なくされたのです。
この一件は、「自動車に対して適切なセキュリティー対策を施していないと、リコールへとつながる恐れがある」という警告を自動車メーカーに与えることとなりました。こうした背景から、今、世界中の自動車メーカーや自動車部品メーカーは、何かしらのセキュリティー対策を講じなければならない状況にあるのです。
中でも、セキュリティー対策は弱いところが狙われるため、対策が遅れている企業の製品は集中的に狙われる恐れがありますから、注意が必要です。「対策が遅れること自体がリスクにつながる」というところが機能安全との大きな違いであり、自動車に対するセキュリティー対策が現在注目されている大きな理由であると思います。
自動車に対するセキュリティー対策は、今後ますます必要とされるようになるのでしょうか。
杉山氏:自動車に対するハッキングの技術は、環境や攻撃技術の進化に伴ってどんどん変化していきます。そのため、それに合わせてセキュリティー対策もアップデート(更新)をしていかなければなりません。ITシステムでも同様ですが、セキュリティー対策には終わりがないのです。
一通りのセキュリティー対策が完了した後には、最新のインシデント(事例)情報や脆弱性に関する情報を収集し、それらに対応したセキュリティー対策を随時アップデートしていく必要があります。このような活動は、各企業や組織におけるSIRT(セキュリティーインシデント対策チーム)が行います。ところが、現在の自動車業界でこのような組織を持っている企業はほとんどありません。従って、まずは今後継続してセキュリティー対策を維持していくために必要となる組織や仕組みを早急に整えることが求められます。
