ブログ|NRIセキュア

車両ソフトウェアをセキュアにアップデートするための4つの要素

作成者: 十河 太一|2021/07/14

 「法規施行が変える自動車のサイバーセキュリティ」と題して全5回にわたり、法規対応を含め、自動車業界におけるセキュアな製品の開発や市場投入後の製品セキュリティ維持に向けた取り組みについての解説、及び株式会社NDIAS(以下NDIAS)(※1)の自動車のサイバーセキュリティに関するナレッジについてご紹介をしています。

 

 第1回 車両サイバーセキュリティのプロセス構築方法|CS法規対応の勘所
 第2回 自動車のセキュリティ評価手法|攻撃者とのギャップを埋めるグレーボックステストとは?

 第3回 自動車業界におけるPSIRT活動|製品ライフサイクル全体に必要な実践的対策

 

 車両のライフサイクルを通して車両のソフトウェアを適切な状態とするためには、無線(OTA)、有線、あるいはECU(Electronic Control Unit)の交換によるソフトウェアアップデートが必要となります。UN-R156(※2)では、ソフトウェアアップデートの適切な実施を確保するために、システムや仕組みといったプロセスに対する認証と、認証されたプロセスに従い車両が開発・生産されていることを示す車両型式に対する認証が求められます。
 
 第4回となる本記事では、自動車分野を中心としたセキュリティサービス企業である当社が、車両におけるセキュアなソフトウェアアップデートを実現するための4つの基本要素をご紹介します。

 

(※1)株式会社NDIAS:NRIセキュアと自動車部品サプライヤであるDENSOの合弁会社として2018年12月に設立

(※2UN-R156:車両のソフトウェアアップデート及びソフトウェアアップデート管理システム(SUMS)

 

ソフトウェアアップデートの概観

 国土交通省はUN-R156の主な要件として以下3つを挙げています。

  • ソフトウェアアップデートの適切さを担保するための業務管理システムを確保すること。
  • サイバーセキュリティに関して、車両のリスクアセスメント(リスクの特定・分析・評価)及びリスクへの適切な対処・管理を行うとともに、セキュリティ対策の有効性を検証するための適切かつ十分な試験を実施すること。
  • 危険・無効なソフトウェアアップデートの防止や、ソフトウェアアップデート可能であることの事前確認等、ソフトウェアアップデートの適切な実施を確保すること。

 

 これらの要件を満たすためには、主に以下の4つの領域において対策が必要となります。

 

 

1:ソフトウェアアップデートプロセスの概観

領域① 製品開発

 新規車両開発及びソフトウェアアップデート実施時、ECUソフトウェアの適切さを担保するために必要な検証・評価を実施するプロセスを構築し、ソフトウェアアップデートに関連する全ての情報/文書をセキュアに管理する必要があります。また、OTAによるソフトウェアアップデートに対応している車両の場合は、次の4つの要件にも対応が必要となります。

  • 更新失敗または中断時のリカバリ処理
  • 更新前に「必要電力があること」「安全に更新できること」「前提条件が満たされていること」の確認
  • 更新内容、更新結果等のユーザへの通知
  • 運転中の更新が安全ではない場合の対応

領域② センター

 車両メーカは、車両のライフサイクルを通して、次のような各車両を構成する情報を一元管理するシステムを構築する必要があります。

  • 車両識別情報
  • ハードウェア情報
  • ソフトウェア情報
  • ソフトウェアの完全性確認結果
  • RXSWIN(UN規則のRegulation No.ごとに、Regulationに関係するECUのソフトウェアをまとめて管理するための識別子)など

 これらの情報は、ソフトウェアアップデートを適切に実施するために、以下のようなケースで使用・更新されます。

  • ソフトウェアアップデート対象車両の特定
  • ソフトウェアアップデート実施前の互換性検証
    (システムの情報と車両の情報を比較し、ソフトウェアアップデート対象のソフトウェアと対象車両の互換性に問題がないことを確認する)
  • ソフトウェアアップデート実施後の実施結果の記録
    (ソフトウェアアップデート対象ECUのハード情報、ソフトウェア情報、ソフトウェアの完全性確認結果を読み出し、実施結果をシステムに記録する)

領域③ システム

 セキュアなソフトウェアアップデートを実現するためのプロセス・仕組みを構築し、ソフトウェアの配信サーバから対象車両までエンドツーエンドでのセキュリティ対策が必要となります。

領域④ ソフトウェアアップデートの実施

 ソフトウェアアップデートの実施時には、車両ユーザに対するソフトウェアアップデートの通知や、ソフトウェアアップデートの記録を実施する必要があります。

 

  次章では、ソフトウェアアップデートの中心的作業(ECUリプロ)に焦点をあて、これをセキュアに実現するための4つの基本要素についてご紹介します。

セキュアなソフトウェアアップデートを実現するための4つの基本要素

 セキュアなアップデートを実現するための4つの基本要素と対策手段の例についてご説明します。

 

2:セキュアなアップデートを実現するための4つの基本要素と対策手段の例

4つの基本要素

 以下の4つの基本要素は、有線・無線に関わらず共通の考え方です。

  • ①接続相手が正しいことの確認
  • ②安全な通信経路の確保
  • ③コンテンツの保護
  • ④コンテンツが正しいことの確認

置かれている状況と対策手段の例

 ソフトウェアアップデートに関するシステムは「ソフトウェア配信システム」「車両情報管理システム」「生産管理システム」「ディーラ/販売店で使用するサービス業務システム」等多岐にわたります。

 

 また、車両メーカ、サプライヤのみならず、ディーラ/販売店のサービス要員も関わるため、システム利用者も多岐にわたります。このような使用環境を鑑みると、4つの基本要素に対し、以下のような対策手段が事例として挙げられます。

  • ①接続相手が正しいことの確認
  • ・システムの不正利用を防止するために、システム利用者認証の実施。
  • ・サービスツールの不正使用を防止するため、サービスツール機器認証の実施。

  • ②安全な通信経路の確保
  • ・通信経路上での情報収集やなりすましを防止するために、システムと車両間をTLS通信等で保護。

    ③コンテンツの保護
  • ・ソフトウェアの解析を防止するために、ソフトウェアは平文ではなく暗号化して配信。

    ④コンテンツが正しいことの確認
  • ・配信されたソフトウェアが正しいことを確認するために、署名検証を利用。
  • ・ソフトウェアが改ざんされていないことを確認するために、毎起動時にセキュアブートを実施。

 

 既存システムを流用する場合は、まずこの4つの基本要素を満たしているか点検することが重要です。OTA対応等により新規にシステムを開発する場合は、この4つの基本要素を設計段階から考慮し開発することが重要です。

 

 また、高度化・複雑化したシステムは常に変化する脅威・脆弱性に晒されるため、各社独自の対応だけでは環境変化のスピードに追い付けない可能性があり、業界でペストプラクティスを共有する文化があります。セキュリティ専門家の知見やベストプラクティスを取り入れることで、適切な対策手段を効率的に選択することが可能です。

まとめ

 法規(UN-R156)の施行により、型式認証のため自動車メーカ、サプライヤはソフトウェアアップデートプロセスの構築が必要となります。


 有線・無線に関わらず、セキュアなソフトウェアアップデートを実現するためには、4つの基本要素を設計段階から考慮し開発することが重要です。また、セキュリティ専門家の知見やベストプラクティスを取り入れることで適切な対策手段を効率的に選択することが可能です。

 

 株式会社NDIASは自動車分野を中心としたセキュリティサービスを提供する企業として、法規対応に向けた支援サービスも行っております。開発プロセス構築コンサルティングサービスでは、本記事でご紹介したような自動車開発の知見と情報セキュリティの知見を活用し、お客様のプロセス構築をご支援いたします。

 

 

■関連サービス

開発プロセス構築コンサルティング:https://ndias.jp/service/consulting/process.html

セキュリティ仕様策定・分析:https://ndias.jp/service/consulting/spec.html