車載IoT機器での対策で抱える4つの課題
車載IoT機器のセキュリティ対策には、特に留意すべき点がある。ICTシステムのセキュリティ対策として話題に挙がることが多い境界防御型の対策のような、ネットワーク中の攻撃防御だけでは十分ではないという点だ。ゼロトラストの考え方に基づき、どのネットワークやデバイスも信頼しない前提での防御が必要である。クルマには攻撃対象となる車載システムなどが、伝送路がむき出し状態の無線でつながっているため、車内および周辺のアクセスポイントとの間のセキュリティ対策にも注力する必要がある。この領域では、車載システムなどに組み込むハードウエアとソフトウエアのそれぞれに対策を施す必要がある。特に、これからクルマの中核機能の実現手段としての重要性が高まるソフトウエアに関しては、適宜「脆弱性診断」「ファジング試験」「ファームウエア解析」などを実施しながら、適切な対策を策定・導入していくことが重要だ。
ネットワークエンジニアリング部
千徳 仁 氏
ただし、「実際に車載IoT機器で適切なソフトウエアセキュリティの対策を策定することは、それほど簡単ではありません。対策策定のプロセスでは、大きく4つの課題を抱えているからです」とIoT機器や無線プロトコルのセキュリティ対策支援に携わってきたキーサイト・テクノロジー株式会社 ネットワークエンジニアリング部の千徳 仁氏は指摘する。
第1に、「無線を搭載するIoT機器の脆弱性を可視化する簡便な手段がない」。適切な対策を策定するためには、システム内のソフトウエアだけでなく、ネット接続に利用する無線プロトコルそのものにいかなる脆弱性が存在するのかについて、正確に把握する必要がある。相互接続性試験を通過した無線関連製品は、確実な接続が期待できるものの、セキュリティ上のリスクがないことが保障されているわけではない。サプライヤー各社の実装の違いによって、それぞれ異なるセキュリティリスクを抱えていると考えた方が良い。つまり、脆弱性を都度確認する必要があるのだが、そのための簡便な手段がないのである。
第2に、「各国の新たなセキュリティ規制を解釈し、その要件を満たす試験の実現は容易ではない」。車載IoT機器でのセキュリティ対策の徹底を目指して、市場や利用する地域ごとに、個別のセキュリティ規制が設けられている。また、自動車や医療機器のように、アプリケーション固有の要求項目・基準を設けている分野もある。製品を市場投入するためには、これらの規制や基準をクリアする必要性が出てくるのだ。しかし、いかなる試験を実施して対策の効果を検証すれば良いのか。方法論を策定するには相応の専門的な知見とスキルが求められる。特に、無線技術が関連してくると、ICT関連でセキュリティ対策に精通した専門家でも適切な対処が難しくなってくるという。
第3に、「サプライチェーンの脆弱性を把握したいが、その体制の構築には想定以上に費用がかかる」。無線を使ってインターネットに接続する際、当然、無線チップセットなどを半導体メーカーから調達し、車載システムなどに組み込むことになる。しかし、採用済みまたは検討しているチップセットにいかなる脆弱性が潜んでいるのか、常に最新情報を把握することは意外と難しい。正確に把握し、適切な対処を施すためには、サプライヤー側でいかなる脆弱性評価がなされているのか知っておく必要がある。また、対象機器に導入するソフトウエアに含まれるすべてのコンポーネントとその依存関係を把握するために利用するSBOM(Software Bill of Materials)に対して、各国や地域、アプリケーションごとに多様な規制・基準が設けられるようになってきた。今後いかなる要求が出てくる可能性があるのか、想定しながら脆弱性を把握する必要も出てくるだろう。
第4に、「多種多様なツールを組み合わせた運用により、セキュリティ試験の作業工数が増えている」。車載システムなどの脆弱性などを評価するためには、専門的な複数のツールを組み合わせて、テストシステムを構築する必要がある。例えば、U.S. Cyber Trust Markを取得するためには、30以上のオープンソースツールの使用が必要になる可能性がある。そもそも、ツールの使い分けと連携などを考慮したテストシステム構築には、手間やコスト、専門知識が必要であり、その運用にも多くの作業工数が必要になることから開発効率が良くないのが現状だ。
テストの簡便化を支援するIoT Security Assessment
キーサイト・テクノロジーでは、車載システムを含むIoT機器を対象にして総合的にセキュリティテストを実施できるテストツール「IoT Security Assessment」を提供。先述した4つの課題を効果的に解決することを目指したツールとなっている。最新のセキュリティ規制に対応したテストの実施が可能であり、既知のサイバー攻撃に対する脆弱性を把握する脆弱性診断機能、未知のサイバー攻撃に対する脆弱性をチェックするファジングテスト機能、さらには適切なSBOMの自動生成機能を備える。
それらを解決する「IoT Security Assessment」の特長
IoT機器のセキュリティ対策では大きく4つの課題を抱えている。こうした課題と対峙しながら、適切な評価・対策を実施し、コンプライアンス試験をパスする必要がある。キーサイト・テクノロジーの統合テストツール「IoT Security Assessment」ならば、効率的で効果的な評価・対策が可能だ。
「当社は、無線技術やネットワーク技術に関連した計測・テストの技術で豊富な実績を積み上げてきた企業です。車載IoT機器においてインターネット接続に利用する多様な無線技術、CAN、Ethernetなど車載ネットワークの技術について広く深い知見を持っています。こうした知見を注ぎ、インターネット接続に関わるセキュリティテストを1つのツールで実施可能にし、簡単に導入できるターンキーソリューションを目指して開発したのがIoT Security Assessmentです」と千徳氏は語る。
IoT機器のセキュリティ対策の領域で果たす同社の重要性は、U.S. Cyber Trust Markのラベリングプログラム立ち上げに携わった少数の選定ベンダーの一つとして招待され、唯一のテストソリューションプロバイダーとして参加していることからも分かる。
攻撃者の視点からシステムへの侵入可能性を検証するペネトレーションテストを実施するためには、侵入口となるアクセスポイントなどを実際に用意し、さまざまな攻撃条件を想定した検証の実施が必要となる。キーサイト・テクノロジーでは、その実施に必要なテスト環境を統合し1パッケージ化した、自動車サイバーセキュリティ・テスト・システムも提供が可能だ。IoT Security Assessmentや自動車のセキュリティテストに特化した米Block Harbor社製のライブラリー「Breakwater」、パソコンやインタフェースを含めたハードウエアで構成したものであり、テスト管理ソフトウエア「PathWave Lab Operation for Automotive Cyber Security」を組み合わせることで、サイバーセキュリティ・テストをスタンドアローンで包括的に実施できる。
自動車セキュリティテストソリューション
自動車サイバーセキュリティ・テスト・システム
IoT Security Assessment、自動車のセキュリティテストに特化した米Block Harbor社製のライブラリー「Breakwater」、パソコンやインタフェースを含めたハードウエアで構成。これに、セキュリティテストを実行した後のデータを管理し、レポートを作成するテスト管理ソフトウエア「PathWave Lab Operation for Automotive Cyber Security」を組み合わせて、自動車サイバーセキュリティ・テストを包括的に実施することが可能になる。
車載IoT機器の開発におけるセキュリティ対策の重要性は、今後もますます高まっていくことだろう。しかも、適切な対策を施すためには、従来の製品開発やICT分野のセキュリティ対策とは別の知見やスキルが必要になってくる。より効率的で効果的な対策の開発・導入を支援する同社が果たす役割は大きそうだ。
