自動車(クルマ)の自動運転システムとIoT化に潜むセキュリティとは?車載電子機器を含めたサイバーセキュリティ対策の必要性

f:id:security-security:20170503145116j:plain

じゃぱりバスはラッキービースト(非接続型インターフェース)を通じた完全自動走行システムの次世代スマートカーだが、日本では2025年の段階でそれに近しい完全自動走行システムに基づく自動走行車が市場投入される事が予想される。

 

旧来の自動車(クルマ)に自動運転システム・機能が搭載されて未来のクルマへと進化するのはIoTやデジタルトランスフォーメーションの大波が引き起こしているのだが、現時点で私たちが考えなければならないのは完全自動走行車を対象とした標的型サイバー攻撃となる。

 

自動走行車に潜むサイバーセキュリティ対策は主に車両システムOEM環境利用者 / 提供者(ヒューマンエラー)となり、自動車へのシステムに介入できる全ての存在の行動のミスやシステム上の不具合が脆弱性へと繋がり、サイバーテロへと繋がる。

 

それでは、今回は自動車(クルマ)の自動運転システムとIoT化に潜むセキュリティに対する対応策をお伝えしていく。

 

SPONSORED LINK

 

完全自動走行システムに基づく自動走行車に潜む脆弱性とは?

f:id:security-security:20170502044735j:plain

完全自動走行・運転システムに基づくスマートカーに潜む脆弱性は、大別して次の3つに分類される。

 

自動走行車に潜む3つの脆弱性

・完全自動走行を実現するための「車両システム」

OEM(original equipment manufacturing/manufacturer)環境に基づく「第3者の関与」

・利用者 / 提供者による「ヒューマンエラー」

 

完全自動走行システムを達成する為の開発者・技術的関与をする第3者(OEM環境とは他社の技術者に開発を一部移譲させる事)・実際に商品として扱う利用者 / 提供者とこれだけの人間が完全自動走行システムへとアクセスする可能性を持ち合わせている。

 

もちろん普通自動車であっても同様の工程を経ていて、何も自動走行車だけが危険性や脆弱性を帯びている訳ではない。

 

しかしながら、人間側が走行時にほぼ関与する可能性のない自動走行車にはこれだけの人間が関与しており、サイバー攻撃を仕掛ける可能性を有しているという事を理解しておくと良いだろう。

 

その他にも、自動走行車に搭載されるWebアプリケーションを通じた車両システムへの脆弱性を通じたサイバーテロも十分に可能であり、未来でのスマートカーは自動で動き回る電気機器部品のカタマリという訳だ。

SPONSORED LINK

 

自動走行車の『車載電気機器 』の脆弱性対策とは何か?

f:id:security-security:20170430170135j:plain

現在の自転車であっても電子機器を多く搭載しているが、電子機器に対してハッキングしたり脆弱性を突くサイバー攻撃をしても特に問題は生じない。

 

だが、完全自動走行システムを達成する車両システムと直結した場合の車載電子機器の場合は全く話は変わってしまう。

 

パッと思いつくだけで、以下の車載電子機器が攻撃対象となり得る

 

主な攻撃対象

ドライブレコーダー

・ナビシステム

・車載システム

・車載電子機器

GPS

・TPMS

・アプリケーション類

 

これらの車載電子機器と車両システムが連結しており、電子機器側に存在する脆弱性を通じてシステムに干渉する事も考えられ、特に遠隔から悪意あるハッカー側が自動走行車へのリモートコントロールが生じる可能性も十分にあり得る。

 

将来の自動走行車は電子機器のカタマリであり、かつネットワークに接続された情報技術のカタマリでもある。とするならばスマートカー自体を攻撃対象とし、標的型攻撃を仕掛けるケースに十分に対処する事が重要だ。

 

現時点での不正なマルウェアを通じた標的型攻撃は機密情報を外部の第3者に盗まれる可能性はあり得るが、命を落とす危険性は極めて少ない。

 

なぜなら、単純にテキストデータを悪意あるハッカー側に参照されてしまい、結果として企業が被害を受ける事で押しとどまるからである。

 

上記も十分に問題だが、スマートカーに対するサイバーテロはそのまま死へと直結する可能性が極めて大きく、十分に配慮した対処が必要となる。

 

IoTによる情報革命が起きたのはついこの前の話であり、今やドローン革命の時代だからこそ、自動で動く機器への意識を向ける姿勢が必要となる。

 

自動運転システムへの具体的なサイバー攻撃対応策とは?

f:id:security-security:20170430170304j:plain

具体的な問題が生じていない。つまり明確なハッキングや攻撃シナリオが存在していない為に対策の対策という状況ではあるが、まず始めに自動走行運転車に対する国際的なセキュリティ対策規格を構築する事だと言える。

 

現状でも日本が独自策定している自動運転車の定義などをまとめたガイドラインも海外のガイドラインを基準に作り出しているにすぎず、世界全体が明確に協調しながら前に進んでいるというわけでもない。

 

現時点で考えておくべきはドローンが私たちの身の周りを飛び交い、かつ完全自動走行システムによるスマートカー(もしくはコネクテッドカー)が今後10年以内に当たり前の出来事として存在している事実を知る事からだろう。

 

日本が策定している完全自動走行システムにおけるレベル4(完全に自動で走行する段階)に到達するのは2025年以降であり、もう10年もない段階で完全自動走行システムに基づく運輸交通システムへと変化していく。

 

IoT化やデジタルトランスフォーメーションされた世界へと着々と進み続ける現状においての考えるべき一例として自動車(クルマ)の自動運転システムとIoT化に潜むセキュリティを考慮しておくべきだ。

 

最もかんたんなサイバー攻撃対象は、人でしかない...。

f:id:security-security:20170427020012j:plain

いろいろとセキュリティの重要性をお伝えしてきたが、本当に怖いのはセキュリティ対策を知らず、わからないままにしている人たちが結局大多数となる事だ。

 

問題がそこにあるなら学校の問題のように解法を見つける作業か、もしくは独自に解き方を設定して答えににじりよれば良い。

 

どちらも問題がある事が前提であり、問題を定義する事もできなければ解決プロセスに移行する事もできない。

 

これが、非常に極めて怖くてしかたない。と私は今回伝えておきたい。

 

知らない。わからない。のでは人間は行動に移す事ができない為にエンジニアリングも何もなく、人間の知らないという行動がそのままサイバー攻撃脆弱性へと変化してしまうのだ。

 

特に自動走行車へのインストール可能な外部アプリケーションがある場合、まさにそのポイントがサイバー攻撃の発生点になり得る点を合わせて覚えておくと良いだろう。