Automotive Cybersecurity

車載サイバーセキュリティとは、コネクテッドカー（インターネット接続機能を持つ自動車）や自動運転車両に搭載されたECU（Electronic Control Unit）、車載ネットワーク、通信システムをサイバー攻撃から保護するための技術的・組織的対策の総称です。現代の自動車には100個以上のECUと数千万行のソフトウェアコードが搭載されており、車両がネットワークに接続されることで、遠隔からの不正制御や情報窃取のリスクが現実のものとなっています。

車載サイバーセキュリティの国際的な規制として、国連欧州経済委員会（UN/ECE）が策定したUN-R155（サイバーセキュリティ管理システム要件）とUN-R156（ソフトウェアアップデート管理システム要件）があります。これらは2022年7月以降の新型車、2024年7月以降のすべての新車に適用され、型式認証の取得にサイバーセキュリティ管理体制の構築が義務化されました。また、ISO/SAE 21434は車両のライフサイクル全体を通じたサイバーセキュリティエンジニアリングの国際標準として、OEM・サプライヤー双方に適用されています。

車載セキュリティの特殊性は、機能安全（ISO 26262）との密接な関連にあります。サイバー攻撃がブレーキやステアリングなどの安全制御系に影響を与えた場合、乗員や歩行者の生命に直結するため、情報セキュリティと機能安全を統合的に管理するアプローチが求められています。さらに、V2X（Vehicle-to-Everything）通信の普及により、車両間、車両とインフラ間、車両と歩行者間の通信セキュリティも新たな課題となっています。

UN-R155 / UN-R156 — 車両サイバーセキュリティ規制

UN-R155は、自動車メーカー（OEM）に対してサイバーセキュリティ管理システム（CSMS：Cyber Security Management System）の構築を義務付ける国連規則です。OEMは車両の開発・生産・市販後の全ライフサイクルにわたるサイバーセキュリティリスクの管理体制を確立し、第三者認証機関による審査を受けなければなりません。

UN-R156は、ソフトウェアアップデート管理システム（SUMS：Software Update Management System）の構築を義務付けており、OTA（Over-The-Air）アップデートを含むすべてのソフトウェア更新プロセスの安全性を担保します。アップデートの真正性検証、失敗時のロールバック機能、アップデート履歴の管理などが求められています。日本を含む国連の協定加盟国では、これらの規則を満たさない車両は型式認証を取得できません。

ISO/SAE 21434 — 車両サイバーセキュリティエンジニアリング

ISO/SAE 21434は、車両のサイバーセキュリティエンジニアリングに関する国際標準であり、コンセプト段階から廃棄段階までの製品ライフサイクル全体をカバーしています。脅威分析とリスクアセスメント（TARA：Threat Analysis and Risk Assessment）の実施方法、セキュリティ要件の定義、検証・妥当性確認のプロセスを体系的に規定しています。

この標準は、OEMだけでなくTier1/Tier2サプライヤーにも適用され、サプライチェーン全体でのサイバーセキュリティ管理を求めています。また、市販後のセキュリティ監視（脆弱性モニタリング、インシデント対応）も重要な要素として位置付けられており、車両の販売後も継続的なセキュリティ管理が必要です。

CAN バスセキュリティと車載ネットワーク

CAN（Controller Area Network）は、1980年代に設計された車載ネットワークプロトコルで、現在もほとんどの車両でECU間の通信に使用されています。しかし、CANプロトコルにはメッセージ認証機能が備わっておらず、任意のノードがバス上の全メッセージを読み取り・送信できるブロードキャスト方式であるため、攻撃者がCANバスにアクセスできれば、あらゆるECUに対してなりすましメッセージを送信できます。

対策として、SecOC（Secure Onboard Communication）による MAC（メッセージ認証コード）の付加、車載Ethernetへの移行（帯域幅向上とセキュリティ機能の実装）、ゲートウェイECUによるドメイン間通信の制御・フィルタリング、IDS（侵入検知システム）によるCANバス上の異常メッセージ検知などが進められています。

V2X通信セキュリティ

V2X（Vehicle-to-Everything）通信は、V2V（車車間）、V2I（車両とインフラ間）、V2P（車両と歩行者間）、V2N（車両とネットワーク間）を包括する通信技術です。V2X通信では、車両の位置、速度、進行方向などのデータがリアルタイムで交換されるため、データの真正性とプライバシーの保護が極めて重要です。

V2X通信のセキュリティは、PKI（公開鍵基盤）と仮名証明書を基盤としています。各車両は認証局（CA）から発行された証明書を用いてメッセージに電子署名を行い、受信側が送信者の正当性を検証します。プライバシー保護のため、車両の長期識別子は隠蔽され、短期的な仮名証明書が定期的に更新されます。

OTAアップデートとセキュアブート

OTA（Over-The-Air）アップデートは、車両のソフトウェアを無線通信経由で更新する技術であり、セキュリティパッチの迅速な配布に不可欠です。しかし、OTAアップデートプロセス自体が攻撃対象となるため、ファームウェア署名の検証、暗号化された通信チャネル、差分アップデートの完全性検証、アップデート失敗時の安全なロールバック機構が必要です。

セキュアブートは、ECUの起動時にファームウェアの改ざんを検知する仕組みであり、ハードウェアセキュリティモジュール（HSM）に格納された信頼の起点（Root of Trust）から段階的にソフトウェアの真正性を検証します。セキュアブートとOTAアップデートを組み合わせることで、改ざんされたファームウェアの実行を防止し、最新のセキュリティ修正を確実に適用できます。

• 01
  多層防御アーキテクチャの実装：車載ネットワークをセキュリティドメインに分割し、ゲートウェイECUによるドメイン間通信の制御を実装してください。外部接続インターフェース（テレマティクス、OBD-IIポート、Bluetooth）から安全制御系への直接アクセスを禁止し、深層防御の原則に基づいた多層的なセキュリティアーキテクチャを構築しましょう。
• 02
  車載IDSの導入と異常検知：CANバス上の通信パターンを常時監視する侵入検知システム（IDS）を導入し、不正なメッセージやタイミング異常を検知してください。機械学習ベースの異常検知エンジンにより、未知の攻撃パターンも検出可能な体制を構築し、検知結果をSOC（セキュリティオペレーションセンター）に通知しましょう。
• 03
  HSM（ハードウェアセキュリティモジュール）の活用：暗号鍵の保護、セキュアブートの信頼の起点、メッセージ認証にHSMを活用してください。EVITA（E-safety Vehicle Intrusion Protected Applications）プロジェクトで定義されたFull/Medium/Light HSMの要件に基づき、各ECUのセキュリティ要件に応じたHSMを実装しましょう。
• 04
  TARA（脅威分析とリスクアセスメント）の実施：ISO/SAE 21434に準拠した脅威分析とリスクアセスメントを開発初期段階から実施し、攻撃パスの特定とリスクレベルの評価を行ってください。STRIDE、Attack Tree等の脅威モデリング手法を活用し、サプライチェーンを含む包括的なリスク評価を実施しましょう。
• 05
  セキュアなOTAアップデート基盤の構築：コードサイニング証明書による署名検証、TLS暗号化通信、差分アップデートの完全性検証を実装してください。アップデート失敗時のロールバック機能、アップデート適用前の依存関係チェック、そしてアップデートプロセス中の車両安全状態の維持を確保しましょう。
• 06
  VSOC（Vehicle SOC）の構築と運用：車両から収集されるセキュリティイベントを集約・分析するVehicle SOCを構築し、フリート全体の脅威状況をリアルタイムで監視してください。UN-R155が求める市販後のサイバーセキュリティ監視義務に対応し、インシデント発生時の迅速な対応と影響を受けた車両への措置を実行する体制を整備しましょう。