　エフセキュアと加賀FEIでは2018年から共同でのプロジェクトをスタートしており、2020年までの3年間で自動車や金融、通信など向けに十数件の脆弱性診断のプロジェクトを手掛けた。パートナーシップを生かし、今後は工場や社内のネットワークなどに向けても脆弱性診断やコンサルティングサービスを展開し、プロジェクトの件数を年間10件程度に増やすことを目指す。「セキュリティへの脅威は日増しに高まっており、ニーズは5〜10年という長いスパンで伸びていくだろう。息の長いビジネスになることを期待している」（加賀FEI）と需要を見込む。

両社で提供するサービスを拡大する（クリックして拡大）出典：加賀FEI

　加賀FEIでは、車載分野の取引先からセキュリティの課題に関する相談が増えていた。ハードウェアを手掛ける取引先がサービスの創出にも取り組むのをサポートしていく上で、脆弱性の診断やコンサルティングまで踏み込む必要があると判断。パートナーとなるセキュリティベンダーを検討する中で、エフセキュアがドイツやイタリアの自動車メーカーなど向けに実績を持ち、ハードウェアからOS、アプリケーションレベルまで広いレイヤーで脆弱性診断を提供できることからパートナーシップ契約の締結を決めた。車載システムだけでなく、産業機器や工場のネットワーク、民生機器などに向けて、セキュリティ診断やコンサルティングサービスを広く提供していく。

エフセキュアのセキュリティ診断の強み（クリックして拡大）出典：エフセキュア

　ハードウェアにセキュリティ上の問題があった場合、販売後にソフトウェアで修正するのは難しい。また、ハードウェアを対象とした攻撃の抑制、フィルタリングも困難だ。また、ハードウェアの脆弱性が判明した場合、大規模な調査が必要になる事例もある。見つかった脆弱性が即座にサイバー攻撃で利用される可能性は低いが、コネクテッドカーの普及でサイバー攻撃の糸口が増えることを想定すると、設計段階からセキュリティ対策を取り入れる「セキュリティ・バイ・デザイン」が不可欠だ。

→その他の「車載セキュリティ」関連記事

自動車セキュリティに「ここまでやればOK」はない、“相場観”の醸成が必要だ
MONOist編集部は2020年11月10日、オンラインで「自動運転時代の車載セキュリティセミナー」を開催した。自動運転やコネクテッドの技術が導入されていく中で、車載製品のセキュリティに対する考え方や開発の助けとなる技術について紹介した。
車載ソフトウェアのコーディングの課題と、実用的な解決策
静的コード解析やソフトウェアコンポジション解析、ファジングテストの使用など、車載ソフトウェア開発ライフサイクルのセキュリティを向上させるソリューションの概要を説明した前回の記事に続き、今回は静的コード解析をテーマにする。最初にコーディングの問題について説明し、次に実用的な解決策について解説する。
自動車セキュリティとソフト更新の国際基準が成立、2022年へ対応急務
国連の自動車基準調和世界フォーラム（WP29）が2020年6月24日に開催され、自動車のサイバーセキュリティとソフトウェアアップデートに関する国際基準（UN規則）が成立した。車両の型式認可を受ける際に、国際基準を満たす体制であることを示す必要がある。サプライチェーンや製造後の自動車の使用期間の全体像を見た対応が求められており、自動車メーカーだけでなく、サプライヤーの参加や自動車のユーザーの理解も不可欠だ。
テンセントのハッキングチームがトヨタ車の脆弱性を報告、トヨタは既に対策済み
トヨタ自動車は2020年3月30日、既に販売された一部のレクサス車とトヨタ車について、社外から脆弱性の指摘があり、対策を施したことを発表した。
自動車業界にセキュリティ意識調査、不十分な対応やリソース不足が目立つ
シノプシス（Synopsys）は2019年2月20日、東京都内で会見を開き、自動車業界のセキュリティの取り組み状況に関する調査結果を発表した。調査はSAE（米国自動車技術会）と共同で、グローバルの自動車メーカーやサプライヤーなどを対象に実施した。