セキュリティの
学び場

今回の解説ニュース

インターネットにつながる自動車であるコネクテッドカーのセキュリティ対策について発表されています。今後増えるであろうコネクテッドカーでどのようなセキュリティ対策が考えられているかについて説明します。

社外のシステムと双方向の通信を可能とするコネクテッドカーはIoTの一種として分類されます。IoTとは、Internet of Thingsの略で、さまざまなデバイスがインターネットにつながり相互に制御することができる仕組みです。あらゆる物がIPアドレスを持つことで情報交換が可能になる一方で、IoTデバイスに対するネットワーク経由のサイバー攻撃が発生しています。

今回のコネクテッドカー向けセキュリティ対策は、複数のベンダーが車両内部のセキュリティ対策や、自動車とその周辺システムへのサイバー攻撃を検知・分析・管理するシステムなどを共同開発したと発表されています。また、自動車に関する様々なデータはクラウド上に保存されており、適切に保護されているということです。

数万台以上に及ぶ IoT 機器を見守るセキュリティ対策

コネクテッドカーのセキュリティ対策は、SOCがシステムで取得したログをネットワーク経由で監視し、分析しているようです。具体的な内容について説明します。

SOCとは、Security Operation Centerの略で、サイバー攻撃を監視して分析する組織です。監視しているシステムからのログを分析し、結果の緊急度に応じて対応することで、セキュリティインシデントをいち早く検知して的確に対応することが可能です。

車両内には車載IDSや自動車向けのセキュリティ対策が組み込まれており、自動車内で発生したサイバー攻撃を検知しています。車両内の様々なログはクラウドに転送され、その情報は、不正プログラム対策やWebレピュテーション、IPS/IDS、アプリケーションコントロール、ファイアウォール、変更監視、セキュリティログ監視など、様々なセキュリティ対策で保護されています。クラウドに保存された車両やセキュリティのログをSOCが24時間365日監視し、自動車向けの脅威情報と相関分析することによって、検知、分析、管理がなされているということです。

ここまで見てみると、車両内の情報を収集する仕組みは自動車向けのセキュリティ対策が使われていますが、収集された情報を蓄積するためのクラウドを保護したり監視したりする仕組みについては、一般的なセキュリティ対策が応用されていることがわかります。

IoT における責任分界点はどう考える？

IoTにおける責任分界点は、脆弱性の修正プログラムは開発元で作成し、アップデート自体は利用者が実施することで分けられています。コネクテッドカーでも同様と考えられます。

メーカー、ディーラー、ユーザー、それぞれの責任

例えば、車載IDSがサイバー攻撃を検知した場合、原因となった脆弱性を修正することが必要になります。サイバー攻撃を分析して、車両内システムの脆弱性を修正するプログラムを作成することは自動車を開発したメーカーの責任で行います。一方で、提供された修正プログラムはインターネットやディーラーを介して適用されることが想定されますが、最終的にアップデートを実施するか否かの判断はコネクテッドカーの利用者にゆだねられます。これは、WifiルーターなどのIoTデバイスと同様ですが、コネクテッドカーと一般的なIoTデバイスには決定的な違いがあります。それは、セキュリティ対策で守るべき対象の価値です。

セキュリティ対策が必要不可欠となる「守るべき対象」

セキュリティ対策が必要となる前提として、守るべき対象の定義があります。ITシステムの守るべき対象は、知的財産や個人情報などの情報資産であることが一般的ですが、コネクテッドカーの守るべき対象はドライバーの命です。つまり、これ以上ない、何物にも代えがたい価値が、守るべき対象にあるということになります。

コネクテッドカーがここまでセキュリティ対策に重点を置いている理由がお分かりいただけたのではないでしょうか。皆さんにとってのセキュリティ対策も、守るべき対象の価値に合わせて適切に実施していただければ幸いです。