アドバンスド・データ・コントロールズ（ADaC）は、「組込み総合技術展 Embedded Technology 2013（ET2013）」において、米国Green Hills SoftwareのリアルタイムOS「INTEGRITY」の高いセキュリティ性能や、仮想化を容易に行える機能などをアピールした。

» 2013年11月28日 10時00分公開

[PR／MONOist]

　カーナビゲーションシステムやディスプレイメーターなどの車載情報機器は、驚くべき速度で進化を続けている。この進化を支えているのは、高解像のディスプレイや高い処理性能を持つプロセッサだけではない。組み込みソフトウェアの基盤となるリアルタイムOSや統合開発環境も大きな役割を果たしている。

　『最適なソフトウェア開発環境』の提供を使命とするアドバンスド・データ・コントロールズ（ADaC）は、「組込み総合技術展 Embedded Technology 2013（ET2013）」（2013年11月20～22日、パシフィコ横浜）において、車載情報機器の開発に役立つ米国Green Hills SoftwareのリアルタイムOS「INTEGRITY」や統合開発環境「MULTI」を紹介。特に、INTEGRITYの高いセキュリティ性能や、仮想化を容易に行える機能などについてアピールした。

車載情報機器をハッキングから守るセキュリティ性能

　最新の車載情報機器では、スマートフォンなどを介してインターネットと通信接続する機能を備えるようになった。インターネットの活用によって利便性が向上する一方で、PCやスマートフォンのように、ウイルスやマルウェアの侵入、ハッキングの危険にもさらされている。最終的には、車載情報機器と車載ネットワークでつながっている、走る、曲がる、止まるといった自動車の基本機能がのっとられる可能性さえも指摘されている。車載情報機器を開発する上で、セキュリティの確保は喫緊の課題となっているのだ。

　INTEGRITYは、1990年代後半に米国のボーイングやロッキード・マーチンの戦闘機向けに開発されたリアルタイムOSである。米国の軍事兵器に用いられることもあって、国防総省が策定した情報セキュリティ規格「Orange Book」（通称）に沿って開発された。このOrange Bookは、現行のコンピュータセキュリティの国際規格であるコモンクライテリア（ISO／IEC 15408）として知られている。

　コモンクライテリアでは、セキュリティの高さを1～7の評価保証レベル（EAL）で規定している。数値が大きいほどセキュリティは高い。これらのうち、EAL4もしくはEAL4＋までであれば、設計仕様に関する文書を提出し認証機関での精査をクリアすれば認証を得られる。例えば、MicrosoftのWindowsや一部のLinuxディストリビューションは、この手法によってEAL4もしくはEAL4＋の認証を受けている。しかし、EAL5以上については、ソースコードを米国のセキュリティ認証機関（NIAP）などに提出し、形式的手法でハッキングを行い、実際にセキュリティを確保できていることを証明する必要がある。

　INTEGRITYの評価保証レベルはEAL6＋（EAL6全てとEAL7の一部）と極めて高い（図1）。同じEAL6＋を取得している事例としては、ソニーの電子マネー用ICチップ「FeliCa」などに限られる。ADaCによれば、「現在、市場に存在するOSの中で最も高い評価保証レベルの認証を取得している」という。

図1　「INTEGRITY」のコモンクライテリアの証明書。赤色の線で示した部分に評価保証レベルが記されている。右下の表は、各評価保証レベルで利用可能な用途の説明となっている

組み込み機器の仮想化技術で先行

　INTEGRITYは、組み込み機器向けOSの仮想化技術でも先行している。2003年にはハイパーバイザー機能「INTEGRITY Multivisor」を投入しており、INTEGRITYとAndroidを切り替えて利用できる「デュアルペルソナ・ソリューション」は、台湾First International Computer（FIC）が販売する業務用タブレット端末などに搭載されている。

　しかし、従来のINTEGRITY Multivisorを含めて、一般的な組み込み機器向けOSの仮想化技術は、ハードウェアサポートのない「準仮想化」と呼ばれる手法で行われてきた。準仮想化では、ゲストOSに切り替えると処理能力が低下したり、開発工数が増大したりといった問題があり、導入に慎重にならざるを得なかった。

図2　「Cortex-A15」の評価ボード上で「INTEGRITY」と「Android」が並列動作する車載情報機器のデモンストレーション。写真左下にある大きめのディスプレイでは、INTEGRITY上で動作するバックモニターやAndroidの画面が表示される。一方、写真右上にあるディスプレイには、INTEGRITY上で動作するグラフィックメーターが表示されている（クリックで拡大）

　2013年3月にアップデートしたINTEGRITY Multivisorでは、ARMのアプリケーションプロセッサコア「Cortex-A15」などに搭載されているハードウェアベースで仮想化をサポートする「ARM Virtualization Extensions（ARM VE）」に対応。ET2013では、INTEGRITY MultivisorとARM VEを用いた仮想化技術により、INTEGRITYとAndroidを並列動作させられる車載情報機器のデモンストレーションを行った（図2）。

　このデモでは、INTEGRITY側がバックモニターを、Android側がカーナビゲーション機能などの車載情報機器のメイン機能を担うことを想定している。INTEGRITYで制御するバックモニターは1秒以内で起動するので、ドライバーはエンジンを始動させると同時に車両後方の状況を確認できる。車載情報機器のメイン機能を担うAndroidの起動が完了する10～20秒間を待つ必要はない。

　また、従来の準仮想化では、Android側の処理能力が大きく低下することがあった。しかしこのデモでは、ARM VEのハードウェアサポートにより、処理能力の低下は5％以内と仮想化の影響をほぼ感じさせることはなかった。フルHD映像を60フレーム／秒以上のスピードで表示することも可能である。