中期的な自動車サイバーセキュリティの課題

電気自動車の夜明けは、自動車業界における大きな変化を引き起こしました。もはや単なる過去の機械ではなく、現在の車は複雑な車輪付きコンピューターシステムのように見え、ますます高度に自律したロボット的存在に近づいています。本記事では、現代の車両の複雑な世界を掘り下げ、高度なセンサー、広大な計算能力、そして接続性と独立性を支える無数のコード行を探ります。

このような進歩に伴い、機能安全上のハザードやサイバー攻撃から身を守るための、信頼性の高い強固なシステムが急務となっている。

2023年に入り、そしてそれ以降、主要な自動車メーカーはサイバーセキュリティの考慮事項を車両設計や充電ステーションから輸送インフラ、サプライチェーンに至るまで、業務のあらゆる側面に織り込む必要性に深く懸念しています。この戦略は、ますますデジタル化する世界で生き残るために非常に重要です。

コンピューティングの進歩のおかげで、自動車業界は大きく変革しました。現在の車両は、メーカー、所有者、運転手とのシームレスな接続を誇っており、これは情報技術と革新的で協調的かつ多用途なスマートビークルの結合によって実現されています。たとえば、事故時にトリガーされる緊急通報や、GPSを使用した車両の位置特定などが挙げられます。しかし、車両の接続性が向上するにつれて、サイバー攻撃への脆弱性も増加しています。

運転支援車両の試作モデルが急速に進化する世界では、いくつかのモデルがすでにヨーロッパや日本市場でデビューしています。テスラやグーグルのような業界の大手企業は、この新興分野に資源を投入し、サイバーセキュリティの重要性を十分に理解しています。最先端技術が提供する魅力的な可能性が、標的型サイバー攻撃などの危険を伴うことを認識しています。その結果、インテリジェント車両の領域におけるサイバーセキュリティリスクへの対処が最重要課題となっています。

コンピュータ化された車両の弱点

自動車のサイバー犯罪者は、自動車の電子システムに影響を与え、その制御を奪おうとする。これは、乗員の安全に影響を与える可能性があり、さらに悪いことに、衝突時に道路を走る他の車両や交通インフラそのものに影響を与える事故を引き起こす可能性がある。一流メーカーのスマート・ビークルに対するサイバー攻撃の記録がある。

内容を何も変えずに: テレマティクス制御ユニットおよび中央ゲートウェイモジュールに対するサイバー攻撃が最も一般的です。攻撃のモードは、外部とのさまざまな車両インターフェースを介した物理的アクセスによるものです。車載診断システム、USBメモリ、または携帯ネットワークを介して、車両全体のネットワークにアクセスし、ステアリングやブレーキなどの重要な機能を操作できる可能性があります。

その意味で、メーカーは堅牢で信頼性の高いサイバーセキュリティシステムに取り組んでいます。2023年には、サイバーセキュリティの専門家は「道路車両のサイバーセキュリティエンジニアリング」標準(ISO/SAE CD 21434)の使用を推奨しており、これはよく知られたSAE J3061「サイバー物理車両システムのためのサイバーセキュリティガイドブック」標準に基づいており、車両へのサイバー攻撃によるリスクを最小限に抑えることを目的としています。

インテリジェント・ビークルをサイバー攻撃する理由

交通量の多い高速道路で走行中の車両をサイバー攻撃して事故を引き起こすことは、サイバーテロの一例である。自動車車両や輸送機関はテロの標的とされるが、それはこの分野への攻撃が多数の利用者に悪影響を及ぼすからである。車両をサイバー攻撃するもう一つの理由は、闇市場での部品販売を促進する車両盗難の脅威の下でドライバーから金銭を脅し取ること、あるいはさらに悪いことに、身代金の支払いが満たされない場合に備えて、誘拐や殺人のために、車両の位置、ナビゲーション、周囲の情報、さらにはドライバーや同乗者の情報など、車両に関するリアルタイムのデータにアクセスすることである。

データ保護およびプライバシー法は、車両販売店が販売時に購入者のクレジットカード情報を含む大量の個人データを処理できるため、車両所有者を保護する上で重要な役割を果たします。

消費者データが暴露され、サイバー犯罪者の手に渡ると、データの販売や他の物理的な犯罪行為の実行、または車両の機能のいずれかにランサムウェアを仕掛け、その機能が回復するまで使用できなくなるといった重大な損害が発生することは言うまでもありません。

自動車サイバーセキュリティの課題

サイバーセキュリティは、自動車業界のサプライチェーン内のさまざまなリンク、例えば、製造業者、サプライヤー、ディーラー、アフターセールスのワークショップ、充電ポイントの製造業者と管理者、輸送インフラの所有者、運送業者、ドライバーなどが、サイバーセキュリティ要件を満たす計画に参加することを提案しています。

サイバーセキュリティ分野の法案、法律の施行、規制の実施という点では、欧州が最大の参考となる。彼らの経験は必須の参考資料であり、そこからスマートカーのサイバーセキュリティに関するグッドプラクティスという形で一連の勧告が出されている。これらは、車両の販売後のプロセスを含め、関係するすべてのシステムの全体的な保護に通じている。一般論として、2023年の自動車を保護するためのサイバーセキュリティの課題が挙げられている：

• 主な車両リスクを特定し、優先順位をつけるためのリスクベースの手法の定義。
• コネクテッドカーと自動運転車の設計に基づき、プライバシーとセキュリティを保証する。
• メーカーは、販売前に脆弱性を減らすためのアップデートを自律走行車にインストールする責任がある。
• アフターセールスワークショップは、セキュリティ問題が発生した場合に対処するために、販売後の車両にサイバーセキュリティサービスを提供する役割を担っており、サイバー攻撃の際に脆弱性を解決するソフトウェアアップデートを実行できる。

自動車業界では、他の業界と同様、有資格のサイバーセキュリティ・エンジニアの不足に悩まされている。このニーズを満たすためには、企業が自動車パーク専用のサイバーセキュリティ・プロセスの強化に力を注ぐことが不可欠である。

スマートカーのサイバーセキュリティに関する市民教育

セキュリティの専門家は、継続的な教育プログラムにもかかわらず、大半の人々はまだ自分の車のサイバーセキュリティの状態について知らされていることがいかに重要であるかを理解する必要があると考えている。時が経つにつれて、より多くの人々が自動車のサイバーセキュリティに注意を払い始め、時代遅れのサイバーセキュリティ・システムがもたらすリスクを認識するようになるだろう。

米国の自動車メーカーは2019年以降、サイバーセキュリティ・システムを維持することの重要性に関するキャンペーンを実施している：

• サイバー攻撃からの保護: 米国で販売される各車両の電子システムへの入り口は、サイバー攻撃から保護するための対策が施されている必要があり、重要なソフトウェアシステムと重要でないシステムを分離するための隔離措置を含む、サイバーセキュリティ脆弱性に対して評価する必要があり、ペネトレーションテストの実施を含みます。
• 収集された情報のセキュリティ: 車両の電子システムによって収集されたデータは、不正アクセスを防止するために保護されなければなりません。対照的に、データは車両に保存され、車から別の場所に転送される際や車両外でのデータの保存や使用の際に使用されます。特に、車両をレンタルする企業に適用されます。
• サイバー攻撃の検出、報告、および対応: アメリカ合衆国で販売される車両で、エントリーポイントがあるものは、車両の運転および制御データを傍受しようとする試みに即座に検出、報告、対応できる機能を備えている必要があります。もしそれがレンタル用であれば、サイバーセキュリティシステムを更新するためのさらに厳格な計画を提出しなければなりません。
• サイバーセキュリティパネル: すべての車両には、標準的なグラフを通じて誰が運転しているかを通知し、保護とプライバシーのレベルが簡単に理解できるサイバーセキュリティパネルを備えている必要があります。

上記の取り組みは、他の国でも検討されている。サイバーセキュリティの専門家は、運輸当局がサイバー脅威やサイバー攻撃を特定、検知、保護、対応、回復できるよう支援する、自動車部門のサイバーセキュリティを調整する機関を設けることを提言している。

結論

自動車産業におけるサイバーセキュリティとは、自動車の設計からサイバーセキュリティとプライバシーを考慮することであり、充電システム、走行する道路、交通管理システムなど、その後に相互作用するすべての要素を考慮することである。

サイバーセキュリティとプライバシーを設計段階から統合するためには、車両および部品メーカーにサイバーセキュリティ文化を促進し、サイバーセキュリティポリシーを定義・管理し、従業員を教育し、車両開発のライフサイクルを採用し、サイバー脅威やサイバー攻撃への対応を考慮できるようにする必要があります。ユーザー教育は、車両のサイバーセキュリティ状況とサイバーセキュリティの障害が発生した場合の責任を理解することを含みます。