元ITエンジニアが指摘する自動車分野のセキュリティの課題とは
IoT時代に備え、自動車分野においてもサイバーセキュリティが注目されている。その担い手の1つが、自動車パーツメーカー「カルソニックカンセイ」とフランスのサイバーセキュリティベンダーである「Quarkslab社」が設立した合同会社White Motionだ。
CEOに就任した蔵本氏は、もとは日本マイクロソフトにてセキュリティの啓蒙活動に関わってきたサイバーセキュリティ界のエバンジェリスト。『もしも経営者がセキュリティ対策を聞いてきたら』の著者としても知られ、エンジニアとして経営層とのコミュニケーションについて提言を重ねてきた。その蔵本氏が経営陣の一員となり、エンジニアと経営の違いを実感しているという。
出所:合同会社WHITE MOTION 蔵本雄一氏、Security Online Day(主催:翔泳社)講演資料より
「エンジニアはとにかくゴリゴリやれば、1人でもある程度仕事は進んでいく感じがあった。でも、経営層は1人でがんばっても進まない。その一方で、自分1人の判断で全体を止めてしまえるという力を持つ。それはけっこうなプレッシャーで、改めて全体最適の必要性を痛感している」
合同会社WHITE MOTION CEO 蔵本 雄一氏
セキュリティ対策についても同様であり、ウイルス対策やネットワークセキュリティなどが各々すばらしいパフォーマンスを出していても、全体を見渡して最適化を行なわなければ全体の精度は上がらない。それは”Safety”と”Security”の両方が担保されて初めて実現できる自動車のセキュリティにも同じことが言える。WHITE MOTION は、この両者を橋渡ししてソリューションとして担うことを目的のもと設立した。当然ながら経営に携わる蔵本氏には、それまでの専門分野であるSecurityに加えて、Safetyへの知識や理解も求められている。
車のセキュリティで特に重要な保護対象とは何か。まずドライバーの安全性を確保すること、命を守ることがあげられる。そして、適切な運転のために「走る」「止まる」「曲がる」の確保がある。ITと比較すると「何を守るべきか」が明確といえるだろう。
さらに自動車の“中”には「CAN BUS」というネットワーク系と、エンジンの電子制御を総合的に制御するマイクロコントローラ「ECU」が存在する。となれば、物理アクセスができれば、ハックができてしまう。また、暗号化されていない、パケットが8バイトしかないなど、CANは大変脆弱であるという問題がある。
出所:合同会社WHITE MOTION 蔵本雄一氏、Security Online Day(主催:翔泳社)講演資料より
「ITであれば、その信号が最適なのか、どこから来ているのか、確認する仕組みが用意されている。しかし、ブレーキのような瞬時を争う反応を求められる機器を制御する場合、リアルタイム性を高めるために、そうした反応速度を遅らせる処理は行ないにくいという現実がある。業界内でも課題意識は持たれており、未来永劫CANが使われるということはないと思われるが、今は十分なセキュリティ性能が発揮できないというのが現実だ」と蔵本氏は警鐘を鳴らす。
