アラスジャパンの久次です。
ものづくりにおける“サイバーセキュリティ”をテーマにしたブログシリーズ第2回では、 自動車におけるサイバーセキュリティについてお届けします。
国連自動車基準調和世界フォーラム(以下WP29)では、サイバーセキュリティに於いてもタスクフォースが組まれています。
ここでは情報の機密性・完全性・可用性の確保だけでなく、車両の安全性の確保にも言及しガイドラインの策定が行われています。
自動車メーカーはこのガイドラインを参考にサイバーセキュリティ対策を講じ、当局に書類を提出して車両型式認証を受ける必要があります。
国際規格ISO/SAE21434
WP29ではサイバーセキュリティ対策として、意図しない不正なソフトウエアの改竄、なりすましによる乗っ取り、攻撃によるシステムダウンなど、走る・曲がる・止まるに係わる自動車の重要機能に影響するリスクを低減すると共に、リスクが顕在化した場合でも安全に止まる等の制御が行える様にする事を目指しており、サイバーセキュリティに関するマネジメントシステム(CSMS)要件と合わせ、ソフトウエアアップデートのマネジメントシステム(SUMS)にも言及し、ソフトウエアアップデートにおける影響度分析やバージョン管理及びセキュリティ対策についても検討され国際規格ISO/SAE21434として制定が進められています。
<出典:"Status of Work in Process on ISO/SAE 21434 Automotive Cybersecurity Standard" >
防衛と安全保障
サイバーセキュリティを語る場合、不正な侵入や情報漏洩、意図しない第三者による遠隔操作や外部からの攻撃など、主に「防衛対策」に関して語られる事が多いと思いますが、WP29でも取り組まれているようにIoT製品の品質を考える場合、防衛対策だけでなく”安全に利用できる”という観点でも対策を検討する必要があります。
サイバー攻撃は常に進化していきます。現在実施されている対策も時間と共に効力が薄くなるという特性があるため、IoT製品のサイバーセキュリティを考える場合、防衛手段の仕組みやツールは常に最新のモノを取り込めるように設計していく必要があります。
一方”安全に利用できる”という点で考えると、製品出荷時の品質は元より、出荷後の製品に対するソフトウエアのアップデートにおける品質管理にも、新たに取り組みむ必要があります。
継続する品質管理
IoT製品はユーザが利用中であっても、ソフトウエアをアップデートすることで、性能や機能をアップデートすることが出来るメリットがあります。これにより、メーカーは自社製品に対して付加価値を追加したり、製品に対する新たなサービスを提供できるようになります。
ソフトウエアのアップデートを行うという事は、従来の製品に対する設計変更とは異なり、ユーザ個別の利用環境に於いても正しく機能変更が行われ、継続して安全に利用できる様に変更を実施する必要があります。設計変更による品質劣化は避けなければいけません。
自動車情報共有・分析センター(Auto-ISAC)では、自動車のサイバーセキュリティに関するベストプラクティスのガイドラインを提供しています。
Auto-ISACでは、インシデント対応やリスク評価と管理、脅威の検出と監視と合わせて、セキュリティ開発ライフサイクル(SDL:Security Development Lifecycle)として製品開発プロセスにおけるハードウエアとソフトウエアのサイバ―セキュリティ機能の統合に関する取り組みにも触れられています。
変更による影響を正確に把握し、正しいバージョンの製品に対し、適切な設計変更を実施できる事が必要で、そのためには製品情報のバージョン管理や影響分析、関連する設計情報を簡単に見つけ活用できるようにするには、SDLデータを管理するための基盤(プラットフォーム)が必要です。
サイバーセキュリティでは、防衛対策として最適な仕組みやツールを柔軟に取り込むと同時に、変更に対する影響を管理し、製品の安全を確保するための情報基盤の存在も求められてきます。
IDCでは、現在のデジタルトランスフォーメーションにおけるITプラットフォームの定義として、クラウド/ビッグデータ・アナリティクス/ソーシャル/モバイルを上げており、これら4つの特徴を併せ持つものがIoT製品です。
DXの時代、デジタルデータはデジタルツインとデジタルスレッドという形で管理されていきます。サイバーセキュリティへの取り組みは、デジタルツインとデジタルスレッドの視点で考えるとより理解を深めることが出来ます。
次回の記事もぜひお読みください。
「ものづくりにおける“サイバーセキュリティ”」ブログシリーズ 目次
第0回:ものづくりにおける「サイバーセキュリティ」とは? ~イントロダクション~
第1回:IoT製品開発におけるサイバーセキュリティへの取り組み
第2回:自動車におけるサイバーセキュリティ
第3回:サイバーセキュリティのマネジメント
第4回:サイバーセキュリティのマネジメント(その2)
第5回:サイバーセキュリティにおけるデジタルツイン
第6回:なんとか In the Loop
第7回:着眼大局
第8回:Single Source of Truth
第9回:150% BOM
最終回:ものづくりにおける「サイバーセキュリティ」とは? 〜おさらい〜