2023年11月30日 未来のモビリティ社会を支える: 自動車サイバーセキュリティの動向
近年、自動車のソフトウェア化(SDV)が進展する中、サイバー攻撃の脅威に直面しています。ハッカーは巧妙な手法で脆弱性を悪用し、車両制御システムを危険に晒す洗練されたハッキング攻撃を仕掛けています。市場での普及が進むキーレスエントリーのハッキングも懸念が高まり、伝統的なセキュリティ対策を巧妙に回避し、車両への不正アクセスを容易にしています。同時に、車両サブスクリプションサービスでは個人情報やクレジットカードなどの金融情報が車の機能に欠かせない要素となり、新たな情報盗難の脅威が明らかになっています。
こうした脅威への対応として、自動車サイバーセキュリティ領域に注目が集まっています。新しい法律の制定が進行中であり、安全な自動車ソフトウェアを構築できるスキルを持つソフトウェアエンジニアがますます求められています。
この背景を踏まえ、本記事では自動車サイバーセキュリティの最新動向を探り、急速に進化するSDV車両の安全性と完全性を確保するための必要な手段に焦点を当ててみましょう。
1. 今日の自動車サイバーセキュリティの現状
車両へのサイバー攻撃は単なるプライバシーの侵害や技術的な問題だけでなく、個人の安全に直結する脅威です。これは2015年の研究で明らかに示されました。研究者たちは移動中の車を遠隔でハッキングし、エンジンとステアリングをおおよそ10マイル(約16km) 離れた場所から制御しました。これにより140万台の車がリコールされ、生死にかかわる懸念性が浮き彫りにされました。
現代の車両はますますIoTへと統合されており、新たな脅威に直面しています。
現代の車両で一般的なIoTシステムには以下のような例が挙げられます:
- スマートインフォテインメントシステム:
現代の車両では標準的なナビゲーションやメディアサービスを提供するシステムです。
- 連携型モバイルアプリ(コネクティッドサービス):
車両の気候やドアロックなどを制御するアプリ。
- 自動運転機能:
駐車補助、車線維持、適応型クルーズコントロールなどを支援するシステム。
自動車のIoTが進展する中、これらの機能は通常、セキュリティよりも利便性を重視しており、その結果、セキュリティ上の脆弱性が生じることがあります。車両内のIoTデバイスは処理能力が限定されており、頑丈なサイバーセキュリティ対策を導入することが困難です。この制約が潜在的なサイバー攻撃への隙間となっています。
また、様々なサイバー攻撃のリスクも存在します。車両へのオーバーザエア(OTA)アップデートは、ソフトウェアを遠隔で更新し、バグを修正し、新しい機能を追加できる画期的な自動車技術です。しかしこの便利さは新たなサイバーセキュリティの問題も同時に引き起こします。OTAアップデートの利用により、車両は常にネットワークに接続され、潜在的なサイバー攻撃の対象となりやすくなります。これらのワイヤレスアップデートメカニズムが十分に保護されていない場合、ハッカーによって車両システムへの不正アクセスが悪用される可能性があります。
Examples of cyberattacks : Israeli automotive cybersecurity company “Upstream Security”.
2. 規制の厳格化
車両サイバーセキュリティに関連するリスクがますます高まった結果、自動車業界は世界中の政府規制機関の厳しい監視の対象となっています。
各政府は現在、自動車メーカーに対して、車両の初期の設計および開発段階から頑健なサイバーセキュリティ対策を統合するように義務づける基準を設定し、これを強制する規制を導入しています。これらの規制は、自動車のテクノロジーの急激な進化に対応し、消費者を潜在的なサイバー脅威から守ることを目的としています。
自動車サイバーセキュリティを形成する最近の2つの規制として、『UN-R155』と『ISO/SAE 21434』を挙げて詳しく見ていきましょう。
『ISO/SAE 21434』について抑えておきたいこと
『ISO/SAE 21434』は、「道路車両 – サイバーセキュリティエンジニアリング」として広く知られ、国際標準化機構(ISO)とSAE Internationalが共同開発した重要な規格です。この規格は2020年8月に発表され、それ以前の規格であるISO 26262やSAE J3061からの影響を受けながらも、自動車セクターにおけるサイバーセキュリティに特に焦点を当てています。これは、散在していた規制環境において明確なガイドラインが必要であるという認識から生まれ、業界内で積極的に採用されています。
この規格の核心となるのは、車両のソフトウェアとハードウェアのサイバーセキュリティに関するものです。ドライバーと公共の場の安全を脅かすものから、ユーザーのプライバシーや機密データを危険にさらすものまで、サイバー脅威の全ての側面に対処しています。また、メーカーが最も深刻な脅威を含むサイバーアタックのリスクを最小限に抑えた車両を開発するための指針として設計されています。
ISO/SAE 21434の主要な特徴には以下が含まれます:
- 初期段階からセキュリティ
車両設計の初期段階からサイバーセキュリティを取り入れ、車両のライフサイクル全体を通じて継続することの重要性を強調しています。
- サイバーセキュリティ・マインドセットの構築:
この規格は、組織内で一貫してサイバーセキュリティに注力することを奨励しています。脆弱性分析やリスク評価などの重要な分野をカバーしています。
- サイバーリスクの管理:
サイバーセキュリティのリスクを特定し、効果的に対処するためのサイバーセキュリティ管理システムの構築に関するガイダンスを提供します。
『ISO/SAE 21434』は義務ではありませんが、自動車業界において特にサプライチェーンにおいて鍵となる要件となりつつあります。自動車メーカーはパートナーに対して順守を期待し始めており、『ISO/SAE 21434』は自動車サイバーセキュリティにおいて重要な標準となっています。
『UN-R155』について抑えておきたいこと
『UN-R155』は、ユネスコヨーロッパ経済委員会(UNECE)の下で開発された規制で、自動車サイバーセキュリティを変革しています。これは、自動車メーカーが積極的にサイバー脅威に対処するための枠組みを提供しています。
この規制における主要な項目の例:
- 検知および予防:
メーカーはサイバー攻撃を検知および予防するための手段を実装しなければなりません。これにより、車両は機能だけでなくデジタルの脅威に対しても強固な防御が施されます。
- 監視能力:
メーカーが脅威、脆弱性、および実際のサイバー攻撃を監視する能力に重点が置かれています。この持続的な監視は、リスクを迅速に特定し軽減するのに極めて重要です。
- データフォレンジック:
車両は、試みられたサイバー攻撃または成功した攻撃を分析する能力を持っていなければなりません。このフォレンジック分析は、攻撃ベクトルを理解し、将来のセキュリティ対策を向上させる上で重要です。
日本では、『UN-R155』の順守が国内の法規に組み込まれています。2024年1月には規制対象が拡大され、OTA非対応の新型車もこれに準拠することが車両認証に不可欠となっています。これらの基準を満たさない車両は販売制限が課せられ、自動車サイバーセキュリティの重要性が強調されています。
注目すべきことに、この国際規格は車両のタイプによって異なり、サイバーセキュリティの要件を特定の車両機能とリスクに合わせて調整しており、より包括的な安全性を提供していていますが一方で要件の複雑さも増しています。
3. 自動車サイバーセキュリティの未来へ
今回の記事で見てきたように日本の自動車産業においてサイバーセキュリティ領域の重要性や法規制が急速に進む一方で課題となっているのは、エンジニアや営業職の人材不足です。サイバーセキュリティ領域は急速に成長しているだけでなく、技術革新の最前線に位置しているため、転職にて今後のキャリアパスを変えるには絶好のチャンスです。
自動運転技術やコネクティッドカーの台頭に伴い、自動車サイバーセキュリティの専門知識への需要が急増しています。このような機会を活かすために、自動車アプリケーションに特化したサイバーセキュリティの専門のスキルを磨き、現代の車両技術の複雑さを理解するとともに、このニッチな市場に対する緻密な感覚を養うことが重要です。
もし自動車サイバーセキュリティ関連のご転職をご検討されていましたら、Turnpoint Consultingにお気軽にご連絡ください。弊社では、特に自動車・モビリティ業界に焦点を当てた転職サポートを提供しており、面接の練習や回答の添削など、さまざまな面でお手伝いさせていただいています。お仕事探しや転職に関するご質問やお問い合わせがありましたら、どうぞお気軽にお知らせください。
