「つながるクルマ」が変えるモビリティの未来像
連載
» 2019年12月27日 06時00分 公開

WP29サイバーセキュリティ最新動向(4):普及進む車両のソフトウェアOTA、セキュリティで何を求められるか (2/3)

[竹森敬祐、松並勝、溝口誠一郎(DNV GLビジネス・アシュアランス・ジャパン),MONOist]

7.1.1 認証機関/技術サービスによって検証されるプロセス

 7.1.1.2節から7.1.1.4節では、RXSWINによってSU前後のSWやSWバージョン、それらの完全性検証データを管理しておき、車両やそのシステムに実際に搭載されているSWバージョンとの整合性を確認できることを求めている。このため、サプライヤーはOEMへセキュアにSWを提供し、サプライヤーもしくはOEMは、SWの完全性検証データを生成・管理する必要がある。

ポイント
7.1.1.1和訳 この規則に関連する情報が文書化され、OEMによって安全に管理され、認証機関もしくは技術サービスからの要求によって利用できるプロセス。
7.1.1.2和訳 完全性検証データと型式認証済みシステムのHWコンポーネントを含む初期および更新SWのバージョンに関する情報を一意に識別できるプロセス。
7.1.1.3和訳 RXSWINに関する情報の参照や更新を行えるようにするプロセス。各RXSWINに関連する全てのSW、SWバージョン、その完全性検証データに関する情報を更新する機能が含まれる。
7.1.1.4和訳 システムに搭載されているSWバージョンと、RXSWINとして登録されている情報が一致していることを確認できるプロセス。

 7.1.1.5節から7.1.1.7節は、更新対象のシステムと他のシステムの依存関係や、更新対象車両の特定、更新前後の互換性を確認するプロセスが求められている。

ポイント
7.1.1.5和訳 更新されるシステムと他のシステムとの依存関係を識別できるプロセス。
7.1.1.6和訳 OEMが、SUの対象となる車両を特定できるプロセス。
7.1.1.7和訳 対象車両の更新前後のHW/SW構成の互換性を検証するプロセス。

 7.1.1.8節と7.1.1.10節は、SUによって変化する機能や性能、パラメータの有無を確認し、車両型式や安全への影響を評価するプロセスが求められている。7.1.1.11節は、車両ユーザーがSUについて通知を受けるプロセスが求められている。

ポイント
7.1.1.8和訳 認証済みシステムに対して、影響を与えるかを評価し、識別し、記録するプロセス。これはSUにより、影響を与える可能性のあるシステムの特定や、法規に関連するパラメータの変更を伴うかなどに配慮する。
7.1.1.9和訳 SUによって追加、変更、有効化される機能、または法令で規定されているパラメータもしくは機能の変更、無効化を評価、識別、記録するプロセス。評価は、次の事項を考慮すること。
(a)関連する情報の更新
(b)テスト結果が更新後の車両をカバーしなくなるのか
(c)車両の機能変更は、車両型式認証に影響を及ぼすのか
7.1.1.10和訳 SUが車両の安全性に関わる他のシステムに影響を及ぼすか、または車両への機能追加や変更があるかなどを評価し、識別し、記録するプロセス。
7.1.1.11和訳 車両ユーザーがSUについて通知を受けることができるプロセス。
7.1.1.12和訳 認証機関もしくは技術サービスが、7.1.2.3節および7.1.2.4節に記される情報を利用できるようにするプロセス。

7.1.2 SUに関する情報の記録

 7.1.2.1節から7.1.2.4節は、7.1.1節で述べられるプロセス活動を通じて生成される情報を文書化することを求めている。主には、SUプロセスの説明、型式認証を受けるシステム構成の説明、SU前後のRXSWINに関連するドキュメント、SWバージョンと完全性検証データ、車両の構成情報や互換性検証の結果である。

 7.1.2.5節では、車両型式の取得のためにSUに関わる文書に求められる要件が述べられている。特に(h)において、SUがセキュアに行われていることを確認できる文書を求めている。

ポイント
7.1.2.1和訳 OEMがSUで用いるプロセスの説明と、コンプライアンス順守を説明するために参照する標準類が記される文書。
7.1.2.2和訳 型式認証を受けるシステムの構成を説明する文書。これには型式認証を受けるシステムのHW/SW(SWバージョンを含む)及び関連する車両またはシステムパラメータの識別子が含まれる。
7.1.2.3和訳 更新前後の車両型式のRXSWINに関連する全てのドキュメント。これには、RXSWINに関連するSWバージョンと完全性検証データが含まれる。
7.1.2.4和訳 対象となる車両の更新前後の構成情報と、互換性の検証結果。
7.1.2.5和訳 車両型式の取得のために、下記に示す全てのSUに関わる文書が必要である。
(a)更新の目的
(b)更新によって影響を受ける可能性のある車両のシステムもしくは機能
(c)(もしあれば)どれが型式認証されているのか
(d)該当する場合、型式認証システムの関連要件にSW更新が影響を及ぼすのか
(e)SUはシステム型式認証パラメータに影響を及ぼすのか
(f)更新の認証が、認証機関から求められたのか
(g)更新がどのような条件において、どのように行われたのか
(h)SUが安全かつセキュアに行われることの確認
(i)SUが適切な検証および検証手順を経ていることの確認

7.1.3 セキュリティ

 7.1.3節では、SUを実行するにあたり、SUへの不正操作の防止、SUプロセスの危殆化阻止、更新SWの機能と有効性の検証などのセキュリティ対策を求めている。

ポイント
7.1.3.1和訳 更新プロセスが開始される前に、更新ソフトウェアに対する改ざんを合理的に防止することを保証するプロセス。
7.1.3.2和訳 ソフトウェア配信システムの開発を含めて、SUプロセスが悪用されないよう合理的に防がれていること。
7.1.3.3和訳 車両に適用されるSWの機能およびコードの妥当性検証が適切であること

7.1.4 OTAによるSUへの追加要件

 7.1.4節では、運転中にOTAによるSUを実行する場合の安全性と、OTAによるSUを整備士が完了まで携わることの確認についてのプロセスや手順についての説明を求めている。

ポイント
7.1.4.1和訳 運転中にOTAでSUが行われたとしても安全性に影響を及ぼさないことを評価するプロセスと手順を、OEMは説明しなければならない。
7.1.4.2和訳 センサーの更新・調整などOTAによる更新に熟練した、もしくは複雑な操作が必要な場合、その更新プロセスを完了するまで、熟練の整備士が携わることを担保するプロセスと手順を、OEMは説明すること。(または、整備士は熟練したまたは複雑な操作を実行するために更新プロセスを制御する手順を説明すること)

Copyright © ITmedia, Inc. All Rights Reserved.