自動車サイバーセキュリティー、ISACの取り組みにみる

CASE時代の課題　「共助」を目指して
業界全体の対策は待ったなし

　CASE（コネクテッド、自動運転、シェアード、電動化）やSDV（ソフトウエア・デファインド・ビークル）といった、「100年に一度」の変革期にある自動車。従来、いわば機械工学の粋を集めて成り立った自動車は、その価値の中心をハードウエアからソフトウエアへと急速に移行させつつある。車載ソフトの搭載量は爆発的に増加し、クルマは「走るコンピューター」へと進化する。ただ、クルマが常にインターネットや外部デバイスと接続される「コネクテッド」化は、利便性を飛躍的に向上させる一方、想定されてこなかったサイバー攻撃の対象領域（アタックサーフェス）も劇的に拡大。潜在的なセキュリティー上の脆弱性（セキュリティーホール）といった新たなリスクが急増している。世界的にサイバー攻撃のリスクが高まる中、業界の課題はサプライチェーンの広さにもある。

北勇介SOCセンター長

山崎雅史CSECCセンター長

　そこで活動を強化しているのが、自動車のサイバーセキュリティーなどに取り組む一般社団法人「ジャパン・オートモーティブ・ISAC」（J―Auto―ISAC、東京都港区）。代表理事を務める佐々木良一東京電機大学名誉教授（客員教授）は、日本のセキュリティー研究の第一人者で、「本格的にセキュリティーが注目され始めたのは2010年ごろ以降。いろいろな形で（攻撃の可能性が）情報として出始めた15年あたりから、急激に関心が高まっていった」と振り返る。

　関心の高まりをさらに後押ししたのは、国連法規「UN―R155」。自動車メーカーに対し、車両のライフサイクル全体（開発、生産、市場投入後）にわたるサイバーセキュリティー管理体制の構築や、安全なソフトウエアアップデートの仕組みの確立を促した。完成車メーカーのみならず、幾重にも連なるサプライヤーに至るまで、業界全体での対策が待ったなしとなった。

　だが、この広範かつ高度化する脅威に、個社（自助努力）のみで対応するには限界がある。膨大な脅威情報の収集・選別にかかる莫大なコスト、そして、セキュリティー人材の深刻な不足は、多くの企業が直面する共通の課題ともなっている。

　この課題を業界全体の「共助」で乗り越えるため、21年に活動を開始したJ―Auto―ISAC。佐々木氏は「1社ではやっていけない。いろんなことが集まることで、全体として底上げしてやっていこうという点にある」と強調する。個社の「自助」をサポートし、競合社間であってもセキュリティーという共通課題では協力する「協調領域」を創出することが目的となっている。

　中核の1つが、日々の脅威情報に対応する「情報収集・分析センター（SOC）」。単に情報を集めるだけでなく、世界中から集めた膨大な情報を「分析」し、自動車業界にとって真に意味のあるインテリジェンス（知見）へと昇華させることをめざしている。

　SOCの分析チームは、外部のアナリストとも連携し、膨大な情報源を常時監視。たとえば、あるベンダーからは週に数万の情報が収集されるが、「自動車関連」というフィルターで数十件にまで絞り込まれる。

　ここからさらに専門家の知見が加わる。主要自動車メーカーから選出された専門家が参画。自動車の構造とシステムを熟知する立場から、絞り込まれた情報をさらに精査し、本当に注意すべき脅威（例えば数件）を特定する。

　この体制強化は、分析の精度を向上させると同時に、メーカーの専門家がJ―Auto―ISACの分析ノウハウを学び、J―Auto―ISAC側も現場の知見を得ることで、業界全体として次世代のアナリストを育成するという重要な狙いも持っている。

　分析対象は、一般的なITシステムの脆弱性だけではない。モバイル回線を使うテレマティクス（コネクテッドサービス）、Wi－FiやBluetoothといった短距離通信、整備工場で使われるOBD（車載式故障診断装置）、車両の頭脳であるECU（電子制御ユニット）やCPU（中央演算処理装置）といったハードウエアに至るまで、車両のあらゆる攻撃経路（アタックベクター）を網羅する。

　佐々木氏によれば、幸いなことに、現状の攻撃は「（実害としては）比較的軽いもので済んでいる」という。従来のところ、金銭的利益に直結しやすい車両盗難（CANインベーダーやリレーアタックなど）が主であり、車両システムそのものの乗っ取りといったサイバー攻撃は、まだ実害レベルでは目立っていない。

　しかし、SOCの北勇介センター長をはじめ専門家らは、国連の法規対応などを先んじて進め、大きな問題が起きる前に強固な防衛線を張っている。精選された脅威情報を、週次・月次・半期レポートといった形で会員企業に共有。各社の迅速な対応と対策を可能にしている。

　SOCが日々の脅威に対応する「防衛」の役割とすれば、業界全体の「基盤」を構築し、将来にわたる強靭性を高めるのが「サイバーセキュリティエコシステム構築センター（CSECC）」。日本自動車工業会や自動車技術会、JASPARといった他団体との「業界連携」を強力に推進。大きく「モノ」と「ヒト」の2つの柱に取り組む。

　まず「モノ」、つまりソフトウエアの管理だ。現代の自動車は数億行のコードで動いており、その多くはオープンソースソフトウエア（OSS）や外部ベンダーから供給されたコンポーネントで構成される。その複雑なサプライチェーンのセキュリティーを担保する鍵として「SBOM（ソフトウエア部品表）」が注目されている。

　これは、そのソフトウエアがどのようなコンポーネント（部品）で構成されているかを一覧にした「部品表」。CSECCは、自動車業界としてのSBOMのユースケースを定義し、その活用法を示す取り組みも進めている。万が一、あるコンポーネントに脆弱性が発見された場合、どの車種のどのECUに影響が及ぶのかをサプライチェーン全体で迅速に特定し、対処することにつながる。脆弱性管理を効率化する共通の仕組みづくりともいえる。

　また、同様に重要な柱が「ヒト」、すなわち「セキュリティー人材の育成」。自動車のセキュリティー対策が極めて難しいのは、「クルマの知識（工学）」と「ITセキュリティーの知識」という、本来異なる分野の高度な知見が同時に求められる点にある。車両特有の制御システム（通信など）を理解しつつ、最新のサイバー攻撃手法にも精通していなければならない。

　CSECCの山崎雅史センター長は「自動車業界全体としてこういう人材が欲しい、という指標が難しい」と、業界共通の課題を語る。スキルセットを兼ね備える人材は、業界全体でまだ足りない状況でもある。

　そこでCSECCは、自動車セキュリティー人材に必要な能力を定義する「スキルマップ」の作成に取り組む。開発、生産、サービスといった各プロセスでどのような人材が必要かが明確になり、大学や他団体と連携した体系的な教育プログラムの構築が可能になる。

　さらに、学生向けのセキュリティー関連の競技会への支援などを通じ、若い世代に自動車セキュリティーの重要性と面白さを伝え、業界への新たな才能を呼び込む取り組みも手掛けている。

　見据えるのは、現在の脅威だけではない。佐々木氏は、次なる重要な論点として「人工知能（AI）」を挙げる。

　「AI機能付きのウイルス（攻撃）」「AIそのものへのアタック」「AIを使った対策」など、攻守両面でAIが鍵になると指摘する。特に自動運転の高度化に伴い、AIによる画像認識や判断が不可欠となる。AIの判断を意図的に狂わせるような攻撃として、標識を誤認識させる攻撃などが警戒され、人命に直結する重大な脅威として、今から注視していく必要があると警鐘を鳴らす。

　もう一つの根深い難題が、自動車業界の特性である「サプライチェーン」だ。佐々木氏は、自動車業界の特徴を「サプライチェーンの密度が高いこと」、そして「（系列など）協力関係が支配していること」の2点にあると分析する。

　この緊密な連携は、高品質なモノづくりを支える強みであると同時に、セキュリティー上の脆弱性も内包。例えば、対策が手薄な中小の取引先がランサムウェア攻撃を受け、部品の設計図や納入情報が漏洩すれば、メーカーの生産ラインが停止に追い込まれかねない。過去に他業界で起きたように、サプライチェーンの1つの弱点が業界全体を揺るがすリスクをはらんでいる。

　業界のセキュリティー対策を「個社（自助）」から「業界（共助）」へとどうパラダイムシフトさせるか。特にサプライチェーンを支える中堅・中小企業にとって、「何から手をつければいいのか、予算はどれくらい必要なのか」といった切実な課題もある。 自社で専門のアナリストを雇い、24時間体制で脅威を監視することは不可能でも、業界トップレベルの分析情報にアクセスできるインフラとなり、また、他社の取り組みを知ることで自社の立ち位置を把握する「ベンチマーク」ともなるか。

　この点で佐々木氏は、経営層がセキュリティー投資の必要性を理解する重要性を指摘し、「これは『経営マター』なんです」と提起する。

　サイバーセキュリティーは、単なるIT部門の「コスト」ではなく、SDV時代において、企業のレピュテーション（評判）、生産の継続性、顧客の安全・安心なモビリティを左右する、企業の存続に関わる「経営マター」。「自社だけではなく、取引先や系列企業も含めて情報共有をしっかりしないと」（佐々木氏）。安全・安心なモビリティ社会を実現するための協調の砦が注目される。

カテゴリー	会議所ニュース
対象者	自動車業界