ある日、突然自動車が止まる。そのリスクに諸君は備えられているか - VicOne|人とくるまのテクノロジー展 2024
自動車のIoT化、技術の進歩、そして電動化。ここ数年で目覚ましい進歩を遂げた自動車だが、一方で今まで晒されていなかった脅威へのリスクヘッジも検討しなければならない。「スマホやパソコンと同じように、国際的に自動車のセキュリティが必要になった」と語るのは、VicOne株式会社のビジネス開発部ディレクター 小田 章展氏だ。従来の自動車からは想像もつかない脅威とその対策には、どのようなものがあるのか。小田氏に話を聞いた。
TEXT:久保田 幹也(Mikiya Kubota)
PHOTO:平木 昌宏(Masahiro Hiraki)
主催:公益社団法人自動車技術会
突然自動車が止まる?起こりうるリスク
「もしかしたら、ある日突然自動車が止まる。そんな日が来るかもしれないんです。」(小田氏)
自動車に搭載されているIT技術といえば、真っ先に思い浮かべるのはカーナビだ。スマホやパソコンなどとクラウド上でつながり、さまざまなコンテンツや情報が供給されるようになった。だが、もちろん、小田氏の話はカーナビの話ではない。今後普及するであろう自動運転技術を搭載したものや、EVのことだ。
「今、自動車メーカーは『いかに車を便利にするか』を考えて車を作っています。ユーザーにさまざまな体験をしてもらうためにも、スマホやパソコンなどとつながって多くの情報がつながります。そうなれば当然、セキュリティも必要になりますよね。」(小田氏)
現に、国連ではUNR155、UN-R156という自動車セキュリティに関するレギュレーションが登場。今後自動車を販売していくにあたり、レギュレーションに即したものでなければ販売できないとするものだ。
自動運転と大きく異なるのは、先の国際的な枠組みができたため、自動車メーカーはその基準に従わなければならない点である。つまり、メーカーは今後、自動車のセキュリティも意識して開発をしなければならない。小田氏によれば「現段階でトラブルが起きた報告はない」とのことだが、セキュリティインシデントによって、ある日突然自動車が動かなくなる日が来るかもしれないのだ。
理論上起こりうることが実証されている
「突然止まるなんて、そんなバカなことはない」と思う読者諸氏もいるかもしれない。だが、小田氏は「何人もの有識者やホワイトハッカー、大学がすでに論理立てて発生する恐れを証明している」事実まで教えてくれた。それも「テスラの場合はこう、トヨタの場合ならこう、という研究結果が表に出てきている」というのだ。具体的なメーカー名を挙げているあたりに、筆者はゾッとした。もうそこまで研究は進んでいるのか、と。
「もちろん、表に出ている報告にはメーカー用に対処法も添えられています。今のところは起きていませんが、啓蒙的にリスクの話をしている人もいます。これからの進化に対する仮説を立てる人もいて、当社もセキュリティの重要性を伝えていきたいと考えています。」(小田氏)
一方で、セキュリティに対する意識を高めてもらうのは難しい。
「一般的にはセキュリティを導入したからといって、儲かる仕組みではありません。セキュリティはコストの考え方なので、企業も青天井に予算を付けられないんです。国際基準ができたものの、どこにセキュリティを求めるのかはメーカー次第なところがあります。」(小田氏)
とはいえ、国連が定めた基準がある以上、メーカーはセキュリティ対策をおざなりにはできない。VicOneは、親会社であるトレンドマイクロ社の持つノウハウを活かし、自動車のセキュリティに進出してきた形である。
求められる対応と情報収集
今回の展示では、車載ECUに搭載するxCarbonと、攻撃を可視化するxNexusなどが展示されていた。いずれのソリューションもサイバー攻撃や関連するインシデントにいち早く対応するものだが、筆者がとくに注目したのはxCarbonだ。
コネクテッドカーに搭載されるソフトウェアは、年々増加している。その分、脆弱性の内包率も高まっており、わずか3年で9倍にまで膨れ上がったという。また、2022年1月には、10代のハッカーが25台のテスラ車を遠隔操作をしていたことが発覚。今後普及するであろうEVや自動運転機能搭載車、そしてコネクテッドカーがリスクに晒されている事実が浮き彫りになりつつある。
そのリスクをトレンドマイクロ社の持つ技術を活かしながら開発されたのがxCarbonである。現状、メーカーの自動車には搭載されていないが、「2027年ごろに予定されている新アーキテクチャの発表に備えて、各社にアプローチしています。」とのこと。
一方、最新の情報を得ることに対しても抜かりはない。報告されている脆弱性の一覧表を活用しているほか、VicOneが行っているのは「Pwn2Own(ポウンツーオン)」というホワイトハッカーのイベントだ。
「カーナビやEVチャージャーなどのお題を事前に用意し、脆弱性を見つけてもらうイベントです。優れた情報にはイベントの運営事務局からバウンティという賞金を出して買い取り、それを自社の製品開発に生かしています」(小田氏)という。オートモーティブワールドでも開催され、ハッキングに関するさまざまな知見が得られる。
課題は脱コストの意識
他にも、新しい脅威や脆弱性に対してタイムラグなく対応するための仮想パッチの配信も実施。VicOneの親会社が大手セキュリティ対策の企業なだけに、自動車の重要性とかけ合わせた対策もなされている。
小田氏がいうには、今後の展開で課題になるのはコストの意識である。
「セキュリティ=コストの意識がまだまだ強いという現状があります。今お話をしているメーカーさんでも、コストが気になっている会社も少なくありません。一方で、どのメーカーでも一定数必要性を感じてくれる人はいます。今後はその人数を増やしていきたいですね。」(小田氏)
自動更新がかかるかどうかなども含め、現在はメーカー主導になっている側面が大きい。だが、今後国際基準ができれば、全社一斉に対応できるだろう。
「自動車だから、パソコンだからという切り分け方はないです。便利になっていく一方で、サイバーの考え方や必要性をもっと訴えていきたいと思います。」(小田氏)
セキュリティに掛けられる費用が青天井でないことは間違いない。だが、今後の自動車に求められるのも事実である。今や自動車もスマホも、同じリスクに晒されている事実を、自動車ユーザーは意識しなければならないタイミングなのかもしれない。
