ようこそゲストさん

  • スペシャル
  • 2016/01/14 掲載

自動車のセキュリティどう守る? NCC Group 「CERT C」の第一人者が解説(2/2)

記事をお気に入りリストに登録することができます。

V2V、V2Iに潜むリスクをCERT C Cording Standardで守る

 さらに、インフラを含めた無線系では攻撃対象が拡大する。たとえば自動運転の基本技術にアドホックネットワークがある。相互接続された車両に構築される無線ネットワーク「VANET」(Vehicular Ad Hoc Network)で、車車間通信(V2V:Vehicle-to-Vehicle)や路車間通信(V2I:Vehicle-to-Infrastructure)を行うものだ。

 V2V、V2Iの通信では、多くのアプリケーションが利用できる。V2Vで自動車の衝突を回避したり、V2Iで音楽やビデオのダウンロードを行ったり、あるいは遠隔ソフトウェア更新なども行える。

「ほとんどの自動車ではソフトウェアの更新機能は搭載されていませんが、この技術が普及すれば、攻撃者が更新時に悪意あるコードを仕込んで、新しい危険が生まれるリスクがあります」

 安全性とセキュリティは一致する場合が多いが、両方を考えて妥協点をみつける必要がある。確率論で言えば、安全性はたとえば事故が0.5%の確率で起こり得るというような問題に帰結するが、セキュリティについては100%悪意のある攻撃者に対応しなければならない。

「CANバスには下位レベルのプロトコルが採用されており、本質的にセキュリティが配慮されていません。そこで相互に認証しあうアプリケーションのセキュリティの仕組みを実装し、アーキテクチャーも変更していく必要があります」

 とはいえ、自動車業界は部品のコストや重量、サイズ、レガシーとの統合、メモリの制約、プログラムの動作タイミング要件も考えなければならない。またサプライチェーンのコストを抑えるためには標準化も必要だ。技術面以外でも、サプライヤーが提供するコンポーネントはブラックボックス化されているという制約もある。

「そのためISO 26262では自動車向けに電気式/電子式/プログラム電子式の機能安全規格が用意されています。安全度水準としてASIL A-Dの4段階があり、規格にはソフトウェア開発のルールも述べられています。ただ残念なことに、これらは欠陥を除去するわけではなく、コードを読みにくくするものもあるため、セキュリティ的にはあまりよいルールではありません」

 そこで同氏の著作である「The CERT C Cording Standard」のセキュアコーディングやベストプラクティスにより、セキュリティとプライバシーを守ることができるわけだ。このコーディング標準は、ISO/IEC TS 17961と互換性を持つ2014年発表のC言語バージョン2.0をISO/IEC国際標準化するための作業部会などのコミュニティと共同で開発されている。ISO/IEC TS 17961は、C標準の要件より勝る静的解析ツールやC言語用コンパイラのような解析ツールに最低限の要件を定義している。したがって、ISO/IEC TS 17961に適合した解析ツールは最低限の適用範囲を保証していることになる。

 CERT C標準セキュアコーディングは、これに反する形でソースコードが評価されるようなルールの規範的な集合を定義する。CERT C標準コードはセキュリティに有効だが、コード適合の評価が必要だ。そのためにQA Cのような静的解析ツールを使用したSCALe適合試験の実施が必要となる。

「SBDとNCC Groupは、自動車システムの安全な開発と運用をサポートするために、Automotive Secure Development Lifecycle (ASDL)を共同で確立しました。今後、自動車の複雑性が増し、攻撃対象の範囲も拡大していきます。従来のようにネットワークから隔離されたプロセスも成立せず、実際に攻撃が行えることが実証されました。そこでECUを脆弱性から解放するために、セキュアコーディングが求められます。また公開認証基盤(PKI)が使用できれば、V2X(Vehicle-to-Everything)通信の安全性も確保できるようになるでしょう」
関連記事

関連タグ


関連コンテンツ

PR

処理に失敗しました

人気のタグ

おすすめユーザー

会員登録で動画、資料に使えるホワイトペーパー、オンラインセミナー年間500本など、会員限定記事が​閲覧できる!​

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます