CASE時代の自動車サイバーセキュリティ(CSMS/ISO21434)

CASEとは? 自動車サイバーセキュリティ(CSMS/ISO21434)の重要性!

自動車関係のトピックスで「CASE(ケース)」という言葉が使われる様になりました。自動車産業の今後の動向、新しい移動手段の次世代モビリティを示す重要なキーワードとなっています。CASEが実現し、MaaS (マース)が広がっていくと、自動車を持っていなくても、運転免許がなくても、好きなところから必要に応じて車を呼んでタクシーの様に乗って移動できる様になります。タクシーと違うのは運転手がいないことです。移動中の車の中では、Netflixで映画も見られますし、ゲームもできます。

一方、自動車がインターネットでつながると、一つのIoTデバイス同様にサイバー攻撃に対して脆弱性を露出します。工場や他のソリューションで使われるIoTと違って、人命や社会性に対する危険度が増すため、より注意深いセキュリティが求められます。テロリストにより乗っ取られた飛行機が自爆攻撃でニューヨークの世界貿易センタービルに突入した2001年9月11日の事件を覚えている方も多いのではないでしょうか。同様のハイジャックがインターネット経由の遠隔操作で行われるリスクをしっかりと回避しなくてはなりません。

今回はCASEについてとCASE時代のサイバーセキュリティ(CSMS/ISO21434)について解説します。

CASEとは

CASEは、Connected(コネクテッド)、Autonomous(自動運転)、Shared & Services(シェアリング&サービス)、Electric(電気自動車)の頭文字です。ドイツの大手自動車メーカー、ダイムラーが2016年のパリモーターショーで発表しました。次世代自動車を語るに欠かせない、4つのキーワードの頭文字をつなげた造語です。

環境対策や資源問題で、車の動力がエンジンに代わって電動モーターになると、構造のシンプルなモーターは比較的簡単に製造できるため、従来の自動車メーカー外の異業種からの参入が容易となります。2003年に創立されたテスラは典型的な例で、生産ラインは家電の製造ラインの様な作りです。グーグルやアップルなど情報通信業、あるいはソニーなどが、電気自動車や自動運転車への関心を示しています。新規参入者はすべてCASEを前提にしています。

CASE

CASEのC(Connected、コネクテッド)

コネクテッドとは、自動車に通信機を搭載し、常に外部との情報をインターネット経由でやり取りすることです。自動車の状態や道路状況、車両同士や自動車とインフラの情報交換など、さまざまなデータを収集分析してサービスに活用します。

ICT (Information and Communication Technology, 情報通信技術)端末としての機能を有するコネクテッドカーは、マップの更新やエンターテインメント機能はもとより、車両の状態や周囲の道路状況などさまざまなデータをセンサーから取得し、ネットワークを介して送受信することで安全性や利便性を高めます。

トヨタは、2018年6月から、車両の制御ネットワーク(CAN: Controller Area Network)に接続する車載通信機(DCM: Data Communication Module)を全グレードに標準搭載したコネクテッドカー、新型クラウン、新型車カローラ スポーツの販売を開始しました。

このサービスにより、eケア走行アドバイス(車両データから車両の状態を診断し、オペレーターが利用者に車載マイクとスピーカーを通じてアドバイス)、eケアヘルスチェックレポート(車両の状態をセンターが常時診断し、トラブルが発生する前に、利用者に整備をアドバイス)、AI音声エージェント(利用者の自然発話を聞き取り、ナビの目的地設定やオーディオの操作、機器の取り扱い説明)、ハイブリッドナビ(ナビシステムのプログラムや地図データは、つねに最新版に維持)などのサービスを受けることができます。

コネクテッドの機能の1つとして、車と「何か」(X)をつなげるV2X (Vehicle to X)という技術があります。V2V(Vehicle to Vehicle、自動車同士で通信し合う車車間通信)は、近くを走行している別の車と通信しながら、事故を未然に防ぐ技術です。V2I (Vehicle to Infrastructure、自動車とインフラ(信号機や道路など)との通信)は信号機情報、道路の状況、歩行者情報などを入手し、運転支援をする技術です。

自動運転

CASEのA(Autonomous、自動運転)

自動運転化にはレベルがあり、SAE J3016で2016年に定められています。SAEはSociety of Automoitve Engineersの略で、アメリカ自動車技術会のことです。

ちなみに自動運転レベル1は「運転支援」、自動運転レベル2は「部分運転自動化」、自動運転レベル3は「条件付き運転自動化」、自動運転レベル4は「高度運転自動化」、自動運転レベル5は「完全運転自動化」のことを指します。

レベル名称定義概要安全運転に係る監視、対応主体
0運転自動化運転者が全ての動的運転タスクを実行運転者
1運転支援システムが縦方向又は横方向にいずれかの車両運動制御のサブタスクを限定領域において実行運転者
2部分運転自動化システムが縦方向及び横歩行両方の車両運動制御のサブタスクを限定領域において実行運転者
3条件付き運転自動化システムが全ての動的運転タスクを限定領域において実行。作動継続が困難な場合には、システム介入要求等に適切に応答システム(作動継続が困難な場合は運転者)
4高度運転自動化システムが全ての動的運転タスク及び作動継続が困難な場合への応答を限定領域において実行システム
5完全運転自動化システムが全ての動的運転タスク及び作動継続が困難な場合への応答を無制限に実行システム
(出典:SAE J3016)

ホンダは2020年11月に自動運行装置、「Traffic Jam Pilot(トラフィック ジャム パイロット)」で自動運転のレベル3に求められる国土交通省の型式指定を取得しました。これは高速道路での渋滞時、ドライバーに代わってシステムが運転操作を行う画期的な機能です。トラフィックジャムパイロットにハンズオフ機能付車線変更支援機能などを追加したHonda SENSING Elite(ホンダセンシングエリート)を搭載したレジェンドを2021年3月に発売しました。ハンズオフ機能とは高速道路や自動車専用道で、渋滞追従機能付アダプティブクルーズコントロール(ACC)と車線維持支援システム(LKAS)が走行中に一定の条件を満たすと、ドライバーがハンドルから手を離した状態でも、システムが運転操作を支援する機能です。

自動運転でもV2VやV2Iなどの情報通信、及びM2M(Machine to Machine)と呼ばれる機械と機械が直接通信して情報を共有する技術が使われます。

レベル3とレベル4の違いは、特定領域における自動運転の主体が「人」か「システム」かです。レベル4になると、技術面はもとより、インフラや社会環境の整備がされないと実用が難しくなります。そういう意味では、街の通信インフラが整ったスマートシティとの親和性が高いと言えるでしょう。

トヨタ自動車の自動運転の電気自動車『e-Palette』はレベル4相当ですが、21年夏の東京五輪・パラオリンピック選手村や未来型実験都市「Woven City(ウーブン・シティ)」など、限定された環境での運行が可能です。

CASEのS(Shared & Services、シェア/サービス)

日本のカーシェアリングは急増しています。公益財団法人交通エコロジー・モビリティ財団による2020年3月の調査では国内のカ ーシェアリング車両ステーション(駐車場)数は 19,119 カ所(前年比 10.9%増)、車両台数は 40,290 台 (同 15.2%増)、会員数は 2,046,581 人(同 25.8%増)と、引き続き増加しています。会員数 は 200 万人を超えました。

(出典:公益財団法人交通エコロジー:モビリティ財団)

ウーバーがアメリカで展開している白タクで車と時間のシェアリング(車を持って運転する時間のある人)をすることは日本で禁じられています。その代わりに、シェアリングできる車をあらゆるところに準備して、必要な時に運転するモデルが成長したとも言えます。

もはや自動車を持たなくても乗りたい時にに乗車サービスを利用して目的地に行くことが当たり前となってきました。トヨタも自動車を売るだけでは先細りになると考え、2019年10月にトヨタシェアと命名したカーシェアリングサービスを開始しました。トヨタは「保有」から「利活用」へとクルマに対する多様化するお客様のニーズに寄り添うとアナウンスしています。

このシェアリングはMaaSと関係していきます。MaaS(マース)はMobility as a Service (モビリティ・アズ・ア・サービス)の略で、移動のサービス化のことです。2014年ころに北欧フィンランドの首都ヘルシンキで生まれた考えです。必要なときに、必要な移動サービスを利用するというものです。

CASEのE(Electric 電気自動車)

2021年12月14日に、トヨタ 豊田章男社長による「バッテリーEV戦略に関する説明会」がありました。この中で2030年には世界で30車種のEVを投入し、EVの新車販売台数を350万台にするという新たな計画を打ち出しました。

これまで「バッテリーEVとFCV(燃料電池車)合わせて販売目標を200万台」としていましたので大幅な上方修正です。

電気自動車は後発メーカーでも比較的簡単に開発、製造できるため、自動車業界の勢力図を変えつつあります。特に中国メーカーの電気自動車は欧州で攻勢を強めています。中国の新興電気自動車メーカー、上海蔚来汽車(NIO)は2022年に欧州5カ国に進出する方針を明らかにしています。2021年9月30日にはノルウェーの首都オスロで電動スポーツタイプ多目的車(SUB)を発売しました。ちなみにノルウェーは2025年までにガソリン車とディーゼル社の国内販売を終了する目標を掲げている先進国です。既に電気自動車の覇権争いに中国が力を入れていることがわかります。

ドイツのメルセデス・ベンツは2021年7月に「2022年までにすべての車を電気自動車にする」とアナウンスしました。気候変動問題を扱っているCOP26の方向性で脱炭素化は加速し、今後ますます電気自動車への置き換えが進むものと考えられます。

自動車サイバーセキュリティ

セーフティとセキュリティの違い

セーフティとは

セーフティー(Safety)の日本語は安全性であり、ISO/IECガイド51で、セーフティ(安全性)とは「受容できないリスクがないこと」と定義しています。事故や損失がなく、身体への害が無く、社会広範囲に悪影響が無かったり、回避できたりすることをセーフティといいます。身近な例ではシートベルトやエアーバッグが挙げられます。

また、セーフティには「本質安全」と「機能安全」があります。「本質安全」とは危険の発生を抑制することで、人間や環境に危害を及ぼす原因そのものを低減もしくは、除去することです。「機能安全」とは危険が起きても、危害に至らない様に機能的な工夫(安全を確保する機能)を組み込み、許容できるレベルの安全を確保することです。

自動車における機能安全規格としてはISO26262(後述)が策定されています。自動車において、1つの部品の欠陥によってエンジン制御ができない、ハンドル操作ができない、止まらないなどの事象が発生して、人に危害を加える様な状況を回避し許容できるレベルの安全を確保するための規格です。

セキュリティとは

セキュリティとは、悪意のある攻撃により情報漏洩するなどの被害が起きないようにシステムを守ることです。特に自動車の場合には、自動車の安全性を確保するための制御システムなどの設計・実装情報が盗まれて、悪意のあるコントロールをされてしまう状況を防ぐことが大事なセキュリティとなります。

国や業界全体としてサイバーセキュリティへの取り組みが活発化し、UNECE(国連欧州経済委員会)の作業部会である自動車基準調和世界フォーラム(WP29)で自動車サイバーセキュリティ基準を検討されてきました。(後述)

サイバーセキュリティ

サイバー攻撃の脅威

自動車の制御システムは、乗員の乗り心地や快適性、安全性を向上するために、さまざまな機能が搭載されています。例えば、自動ブレーキや前車追従、車線保持アシストなどの高度な運転支援を行う先進運転支援(ADAS:Advanced Driver Assistant Systems)があります。これらの機能は電子制御システムが自動車の走行状況を判断して、制御を実行しています。この電子制御システムは車両内に配置されたECU(Electronic Control Unit)と呼ばれる複数のマイコンがお互い車載制御ネットワーク(CAN:Controller Area Network)を介して情報を交換することで、車両操作を制御しています。

2015年にホワイトハッカー(コンピュータやネットワークの高度な知識を持ち、外部の攻撃からの防御など善良な目的でハッキングする技術者)により、高速道路走行中のジープ チェロキーが乗っ取られ、停止させられた事件がありました。車のマルチメディアシステムを経由して電子制御システムに侵入し、ハンドル、エンジン、トランスミッション、ブレーキシステムをコントロールできたそうです。

国内では2020年6月に本田がサイバー攻撃を受け、製造拠点での出荷停止の事件が起きました。車の安全性に直接影響するものではなかったものの、製造工程には自動車制御に関連する機密情報が保存されているため、電子制御システムに関連する情報が盗まれ、走行中の自動車がハイジャックされるきっかけを示唆するものでもありました。

自動車サイバーセキュリティ規格( ISO/SAE 21434など)

UN-R155で要求されるプロセス

2021年1月、自動車基準調和世界フォーラム(WP29)において、自動車のサイバーセキュリティ対応の国連標準であるUN-R155が策定され、6月に採択されました。UN-R155はCSMS (Cyber Security Management System、サイバーセキュリティ管理システム認証)の整備を含むサイバーセキュリティの標準です。自動車のサイバーセキュリティ関連としては、初めての国連規則であり法規制としての拘束力を持ちます。

UN-R155は、プロセスとプロダクトの2つの観点での認証が必要となります。プロセスでは、認証当局により自動車OEMのサイバーセキュリティ体制や仕組みの認証と監査が3年ごとに行われます。プロダクトでは、認証されたプロセスに沿って車両が開発・生産されているかどうかの実証が求められます。

UN-R155でカバーされるプロセスには最新リスクの特定、処理、管理、セキュリティテスト、インシデント/攻撃の検出と処理、脅威インテリジェンス、及び脆弱性監視プロセスがあります。

プロセスでは、自社内のCSMS管理プロセスだけでなく、自社外のサプライチェーンとアフターマーケットサービスについてもセキュリティを担保しなくてはなりません。後述のISO/SAE21434、国際標準でも同様のガイドラインが記述されており、CSMS認証取得に必要なリスク軽減策を施す上で参考となります。但し、UN-R155では要求されていて、ISO/SAE21434で要求されていないものに、バックエンドサーバ、悪意のない行為による脅威や事故、データの物理的損傷がありますので、別途対応が必要です。

UN-R156

自動車基準調和世界フォーラム(WP29)は2020年6月にUN-R156も採択しました。UN-R156はソフトウェアアップデート管理システム認証(SUMS)の要求です。 ソフトウェアバージョン管理、ハードウェアの構成情報管理、依存関係識別するプロセス、ソフトウェアアップデート時安全への影響評価プロセス、車両ユーザーへの通知プロセスがあります。膨大な部品のソフトウェアバージョンを管理する仕組みが必要であり、特定の規則に適用されるソフトウェアバージョンすべてをグループ化し、一つの番号で管理するRXSWIN(Rx Software Identification Number)という識別子が提案されています。

ISO26262

ISO26262はIEC61508をベースにした機能安全を定めた国際規格です。2011年11月に第1版が発行され、2018年12月に第2版が発行されました。ISO26262では機能安全を「電気電子(E/E)システムの機能不全のふるまいにより引き起こされるハザードが原因となる、不合理なリスクの不在」と定義されています。電気電子システムに故障が発生した場合に、安全機能を設けることによって、運転者や同乗者への危害を及ぼす危険を許容可能なレベルに低減することを要求しています。

ISO26262では「システムレベルでの製品開発」、「ハードウェアレベルでの製品開発」、「ソフトウェアレベルの製品開発」のそれぞれで、安全要求の仕様、設計、検証などの項目がカバーされており、製品開発はV字開発モデルに従い、ライフサイクルを通じてトレーサビリティを維持する事を要求しています。

ソフトウェアの故障は、設計の誤りや検証漏など、人為的ミスによるものと認識されています。ISO26262では、この様な人為的な故障を回避するための開発プロセスを定義しています。ISO26262発行前の2005年に発行されたAutomotive SPICE (A-SPICE)が車載向けソフトウェア開発プロセスに対しての指針を示しており、ISO26262ではA-SPICEを踏まえて足りない部分を補うものになっています。組込みソフトウェアを含む電子制御主導の自動車では、ISO26262準拠が必須となっています。

ISO/SAE 21434

道路車両—サイバーセキュリティエンジニアリングの国際標準規格、ISO/SAE 21434:2021が8月に発行されました。自動車基準調和世界フォーラム(WP29)」が、自動車へのサイバーセキュリティ対策(CSMS (Cyber Security Management System)を義務付ける指針(法規制の提案)を採択した中、ISO/SAE 21434準拠がガイドとなります。

ISO/SAE 21434は、路上を走行する車両内部の電子制御システムに関して、サイバーセキュリティ観点でのプロセス定義およびリスク管理をガイドする目的で作成された国際規格です。対象範囲はコンセプトから廃棄に至る自動車のライフサイクル全体で、対象となるアイテム、コンポーネントには、車両および車両のシステム、部品、ソフトウェアに加え、ネットワークにより車両へ繋がる外部デバイス(カーナビ、ETC車載機など)も含まれます。また、前述の様に、欧州・日本で法規制となったUN-R155に対応するガイドとなっていて、要求事項を正しく理解して組織および製品に適用することによって、UN-R155の規定をほぼ満足することになります。

OTA(Over The Air)技術とは、データの送受信を無線通信で行うための技術ですが、日本ではOTA対応の新車では2022年7月から、OTA非対応の新車は2024年1月からCSMS対策が要求されます。

OTA技術対応車では誤用濫用対策のISO/PAS 21448 SOTIFとCASE (Connectedコネクテッド、Autonomous / Automated自動化、Shared シェアリング、Electric電動化)対応のISO24089(ソフトウェアアップデート)の適応性も検討されています。

OEM(自動車メーカー)は自らCSMS準拠義務を順守するためにTier1、Tier2サプライヤがCSMS構築出来ているかを審査する義務を負っています。一方、Tier1やTier2のISO/SAE 21434準拠を証明するプライベート認証もあり、今後は部品メーカーにとってもISO/SAE 21434準拠が当たり前になってきそうです。

下図が自動車サイバーセキュリティ関連の大枠のスケジュールとなります。2022年7月のOTA対応新車の義務化の後は、2024年1月にOTA非対応新車も準拠が義務化されます。2024年7月以降はすべてのOTA対応継続生産車の準拠が義務化、そして2026年5月以降はすべての継続生産車の準拠が義務化されます。

下図がISO/SAE 21434の規格構成となります。詳しくは下記「自動車サイバーセキュリティガイド」を参照して下さい。

まとめ

いよいよCASE&MaaS時代に向けて、サポート技術が向上し、自動運転レベル4を目指す段階となってきました。それに合わせてサイバーセキュリティを高める重要性が増してきています。従来の情報セキュリティでは機密情報やプライバシーを守るのがサイバーセキュリティの主目的でしたが、自動車サイバーセキュリティは人命と社会の安全を守るために必要不可欠なものとなります。

「自動車サイバーセキュリティガイド」のダウンロード

「自動車サイバーセキュリティガイド」では自動車サイバーセキュリティで押さえるべきポイントとISO/SAE21434に基づく具体的な進め方を解説しています。自動車OEM、車載部品メーカーだけでなく、今後MaaSのサービス展開を狙う企業様も無料ダウンロードして、参考にして下さい。

「自動車サイバーセキュリティ講座」の受講

効率良くISO/SAE21434を中心とした自動車サイバーセキュリティを学べるeラーニング講座をご準備しています。社内教育にご活用下さい。

自動車サイバーセキュリティ講座

<受講対象>
自動車関連メーカー、MaaSサービス提供業者

<講座概要>
視聴時間35分 標準学習時間 45分

第1章本講座の目的と流れ/ISO21434が必要になる理由/
ISO21434とサイバーセキュリティ
第2章ISO21434の内容
第3章ISO21434準拠に必要なこと / ISO21434対応事例

<価格>
1ヶ月視聴で3,300円(税込)/1人

この記事が気に入ったら
フォローしよう

最新情報をお届けします

Twitterでフォローしよう

おすすめの記事