自動車のコネクテッド化が進む中で、重要性が増しているのがセキュリティである。「つながるクルマ」を守るためには、製品開発段階でどういう取り組みが必要になるのか。MONOist主催のセミナー「『つながるクルマ』が変えるモビリティの未来～MONOist Future Mobility Forum～」におけるエフセキュアの講演内容をお伝えする。

» 2019年08月29日 10時00分公開

[PR／MONOist]

　自動車のコネクテッド化により新たな価値創出が進む一方で、リスクが高まっているのがサイバー攻撃への対応である。自動車が外部とのネットワーク接続を前提とした「IoT（モノのインターネット）デバイス」へと進化する中では、セキュリティの確保は大前提となる。「つながるクルマ」の製品開発において求められるセキュリティの在り方とはどういうものなのだろうか。

　2019年7月30日に開催されたMONOist編集部主催のセミナー「『つながるクルマ』が変えるモビリティの未来～MONOist Future Mobility Forum～」において、「つながるクルマを支えるセキュリティとは」をテーマに講演したエフセキュアのサイバーセキュリティ技術本部本部長の島田秋雄氏の講演内容を紹介する。

アンチウイルスからセキュリティコンサルまで豊富なノウハウ

エフセキュアの島田秋雄氏

　エフセキュアはフィンランドに本社を置くサイバーセキュリティ企業である。創業は1988年で、30年の歴史がある。アンチウイルス製品用のヒューリスティックスキャナー（ソフトウェアの不審な挙動を分析してウイルスを見つけるスキャナー）やPC用アンチウイルスソフトの開発などでビジネスがスタートし、セキュリティに関する多くのノウハウを蓄積してきた。ソフトウェアだけではなく、セキュリティ対策を組み込んだチップなどハードウェアでの知見も併せ持つことが特長だ。

　現在は、一般的なコンピュータで使われるアンチウイルスソフトだけでなく、ゲートウェイやインターネットサービスプロバイダーのサービス内で提供される製品などさまざまなタイプのアンチウイルス製品や、脆弱性管理、検知と対応サービスといった幅広い領域も製品・サービスを展開している。また、サイバーセキュリティに関するコンサルティングサービスも手掛けており、その最大の取引先が自動車業界である。ドイツやイタリアの複数の自動車メーカーや、日本でも車載IoT機器のメーカーでビジネスを展開しているという。

　島田氏は、エフセキュアのビジネス範囲を「アンチウイルスからセキュリティコンサルティングまで、豊富なメニューを持っていることが強みです」と説明する。実際に、PREDICT（予測）からPREVENT（防御）、DETECT & RESPOND（検知と対応）の各分野で対応する製品とサービスを持つ。最近注目されているEDR（Endpoint Detection and Response：エンドポイントでの検出と対応）分野の製品はもちろん、マネージド検知と対応サービスの分野でも、日本において展開されているという。

セキュリティを織り込んだハードウェア設計と事前のリスク分析が重要

　エフセキュアが自動車関連企業にセキュリティサービスを提供している背景には、現代のクルマがインターネットに接続することを前提とした、いわば『大きなIoTデバイス』化している現状がある。

　クルマがインターネットにつながると、いろいろなサービスが利用できるようになる。近い将来、5Gが普及すれば、サービスの範囲が広がり質もさらに向上するだろう。しかし島田氏は「パブリックネットワークにつながることで、さまざまな危険が想定されます。それに対して事前に対応する、もしくは設計して防げるものは防ぐという姿勢が必須です」と語る。

　エフセキュアでは、この課題にハードウェアセキュリティの専門チームが対応する。2017年に、イタリアのセキュリティ企業Inverse Pathを買収し、競争力を高めた。Inverse Pathは2005年から自動車セキュリティに取り組んでおり、USBベースのコンピュータ「USB Armory」といったデバイスを自作する技術力も持つ。

　Inverse Path出身者を含む10数人の精鋭からなるハードウェアセキュリティ部門は、小さなものでは家電、医療器デバイス、測定器などから、大きなものでは重機や電車、航空機など、非常に広い範囲に対応する。もちろん、クルマもその範ちゅうだ。

　ハードウェアセキュリティは問題を発見した後の対応が難しいと島田氏は語る。「ハードウェアにセキュリティの問題が見つかった後、どのようにリカバーするかが課題になります。チップの問題をソフトウェアでリカバリーできるのか、それともチップごと作り直すのか検討しなければなりません。設計段階でリスク分析などをきっちりやることがハードウェアセキュリティでは重要です」（島田氏）と訴えた。

設計レビューから侵入テストまでスピード感を持って対応

　エフセキュアのコンサルティングサービスは、サイバーセキュリティに関して広い範囲をカバーする。島田氏は「サイバーリスクに関しては、分析、設計やコーディングのレビュー、ペネトレーションテスト（侵入テスト）までやります。ハードウェアセキュリティチームが一員となっていることで、物理レイヤーの低い層から検査に対応可能です」と体制の充実度を説明した。

　スピード感に優れているのも同社のコンサルティングサービスの大きな特長だ。島田氏は、カーナビゲーションシステムのヘッドユニットのテストを例に挙げ「数人のスタッフが部屋にこもったまま、2週間でファーストレポートを提出し、さらに1～2週間後には最終レポートを出すほどの集中力で取り組みます」と自信を見せる。

　最近のクルマは、自動駐車や先進運転支援システム（ADAS）など、各機能がユニット化されている。エフセキュアでは、そうしたユニットに対して徹底的にペネトレーションテストの依頼が多いという。また、これに加え「セキュアブートやセキュアな接続が実現できているかをテストし、検証手法や評価基準については点数によって評価するようになっています」（島田氏）と語った。

　エフセキュアの日本市場における今後の目標は、クルマ全体のペネトレーションテストを実現することだ。島田氏は「クルマ全体のペネトレーションテストを行う企業は日本ではまだ少ないですが、われわれは“ドイツの自動車メーカー3社”で既に実証済みです」と、欧州市場の自動車セキュリティで実績を持っていることをアピール。「クルマ全体をどう守るのか」という観点でセキュリティ確保を検討する重要性を訴えた。