トヨタとセキュリティ、自動運転やコネクテッド化にどう対応？

自動運転技術やコネクテッド技術の進化が進み、自動車があらゆるモノとつながる時代が到来しようとしている。自動車のさまざまな機能が電子制御化され、あらゆる車両情報がクラウドを介して情報共有されるとともに、V2Xによって他の車両や交通インフラなどとも常時通信される。

5Gをはじめとした移動通信システムを搭載した車両においては、エンターテインメントをはじめさまざまなサービスが通信回線を介して提供されることが予想される。従来の内燃機関に象徴される機械としての自動車がコンピュータ化されるのだ。

このコンピュータ化された自動車において必須とされるのがセキュリティ技術で、その重要性は年々増している。特に自動運転車においては、ハンドルやブレーキなどの制御をハッキングされる可能性もあるため、高度なセキュリティ技術なくして自動運転技術は成り立たないのである。

そこで今回は、国内でいち早くコネクテッドサービスの本格導入を開始したトヨタ、及びトヨタグループに焦点を当て、セキュリティ技術の研究開発にどのように取り組んでいるのかを見ていこう。

■トヨタの取り組み

コネクテッドカーの開発とともにセキュリティ対策も本格化

トヨタがコネクテッドカーに関する取り組みを加速させ始めたのは2016年ごろで、同年1月に車載通信機の搭載拡大を通じてクルマの「つながる」化を推進するとともに、膨大なデータ処理を伴う「つながる」サービスの提供に向け、トヨタ・スマート・センター内にトヨタ・ビッグデータ・センターを構築することを発表している。

また、車両オーナーがスマートフォンアプリを車載システムで利用するにあたり、走行時の安全性を確保するとともに、顧客や車両の情報を保護することを目的に、この分野で実績のある米UIEvolutionと業務提携を交わし、車載システムに実装する標準ミドルウェアを開発しグローバルに展開していくことも合わせて発表している。

2017年1月には、米自動車大手のフォードと、スマートフォンアプリとクルマをつなげる「スマートデバイスリンク（SDL）」の業界標準化に向けたコンソーシアム「スマートデバイスリンク・コンソーシアム」を設立すると発表した。

コンソーシアムにはこのほかスバルやマツダ、スズキ、パナソニック、パイオニアなどが名を連ねており、SDLの品質やセキュリティに関してアプリ開発者と自動車メーカーらが協力することで品質向上を図っていくこととしている。

また、自動車メーカーが参加するサイバーセキュリティ攻撃事例の情報を共有する組織「Auto-ISAC（Automotive Information Sharing & Analysis Center）」に日本・米国両方で加盟し、最新動向を確認しながらサイバーセキュリティ向上に努めている。

サイバーセキュリティ評価の業界共通のプラットフォーム構築へ

トヨタは、拡張可能な自動車向けのセキュリティテストベッド「PASTA」を製品化している。

技術仕様が公開されているECU（車載制御ユニット）やCGW（セントラルゲートウェイ）で構成された車載ネットワークのセキュリティ実証実験プラットフォームで、実際の車両を利用することなく利用者がECUのプログラムを書き換えることができ、電子制御システム向け通信プロトコルを用いた車載ネットワーク「CAN-BUS」の解析や、外部からの攻撃に対するセキュリティ評価を行うことができるという。

これまでCANによる通信手法などは各社において機密扱いだったが、車載ネットワークが外部とのつながりを持ち始めたことでサイバー攻撃のリスクが高まっている。こうした環境下、評価環境を整えることで各社のセキュリティレベルが把握しやすくなり、業界全体のサイバーセキュリティ強化に資するとされている。

ブロックチェーン技術の活用も模索

ブロックチェーン技術の研究にも力を入れている。トヨタとトヨタファイナンシャルサービスは2019年4月、グループ6社を構成会社としたバーチャル組織「トヨタ・ブロックチェーン・ラボ」を設立し、ブロックチェーン技術の有用性検証やグループ各社とのグローバルな連携など、技術の活用に向けた取り組みを進めている。

ブロックチェーンは改ざん耐性が高く、システムダウンしにくい特性を有し、情報の信頼性向上に資することで多様な関係者間での安全なデータ共有を実現できる技術と言われている。

これまでの検証テーマは、顧客自身による情報管理の実現や、車両のライフサイクルに関わるあらゆる情報の蓄積・活用を通じた各種サービスの高度化や新たなサービスの創出などで、さまざまな情報がデータとなって飛び交う社会を想定した取り組みとなっている。

「トヨタ×ブロックチェーン」、その狙いは？将来は自動運転でも？ https://t.co/6SHVkPrkim @jidountenlab #トヨタ #ブロックチェーン #自動運転

— 自動運転ラボ (@jidountenlab) March 24, 2020

Tencent Keen Security Labによる脆弱性の指摘

トヨタは2020年3月30日、一部のレクサス・トヨタ車においてセキュリティの脆弱性が発見されたことを発表した。中国Tencent のセキュリティ研究部門「Tencent Keen Security Lab（以下Keen Lab）」のセキュリティ評価に基づくもので、現在販売中の車両にはすでに対策が施されている。

Keen Labが2017年製のレクサスNX300でハッキング研究を行ったところ、オーディオやカーナビなどのAVNユニットや内部CANネットワーク、及び関連するECUを危険にさらすBluetoothと車の車両診断機能において、いくつかの脆弱性を発見した。Bluetooth接続から自動車のCANネットワークまでのリモート攻撃などが実装可能という。

この研究評価レポートを受け、トヨタも再現評価を実施し、高度なハッキングプログラムを使用することで、マルチメディア製品のBluetooth通信を介して一部機能を遠隔操作できることを確認した。なお、走る・曲がる・止まるといった車両制御の遠隔操作は不可能で、遠隔操作には極めて高度なプログラムが必要であること、また車両と近い距離を保ち続ける必要があることなどから困難を要し、実現性は限定的と見ている。

現在販売中の車両は対策済みで、既に販売された対象車両についてもソフトウェアのアップデートを実施可能という。日本においてはこの脆弱性が存在する車両はない。

トヨタは、今後もKeen Labのような高度な専門機関と連携しながらサイバーセキュリティ分野の脆弱性を洗い出し続け、より安全安心なコネクテッドカーの実現を目指していくとしている。

■デンソーの取り組み

海外拠点開設しスタートアップとの連携強化

トヨタグループにおいては、デンソーが特にセキュリティ対策に力を入れているようだ。

同社は、外からの攻撃を防ぐ外部接続の認証機能や、攻撃を車の中と分離するゲートウェイ機能、車載LANをよりセキュアにする認証機能、ECU対策など多層防御技術をはじめ、万が一攻撃を受けた場合に迅速かつ被害を最小に抑えることを考えた「レジリエントセキュリティ」技術などを構築しており、国内外の自動車関連企業と連携しながらサイバーセキュリティ技術を提供している。

スタートアップをはじめとした高度なセキュリティ技術を保有する企業との連携も強めており、2018年2月には、サイバーセキュリティの最先端技術を開発する米国のスタートアップ企業DellFerへの出資を発表している。

DellFerは、セキュリティ上の対策が提供される前の脆弱性を悪用した「ゼロディ攻撃」に備えるための最新のサイバーセキュリティ技術を開発しており、新たなサイバー攻撃から車載システムを防御するため、両社は当技術の車載応用を目指し、共同で開発を進めることとしている。

同年4月には、自動運転やサイバーセキュリティ、AIなどの先端技術に関する研究開発を促進するため、イスラエルでの研究を新たに開始した。多くのスタートアップによる先進的な技術開発が行われていることに注目し、現地企業や大学と幅広くパートナーシップを開拓して共同研究を行う方針としている。

2019年12月には、NTTコミュニケ―ションズと開発した車両をセキュリティ面で見守る「車両向けセキュリティオペレーションセンター」を実現する技術（車両SOC技術）の実用化を目指し、実験環境での車両SOC技術の検証を2020年1月から開始すると発表した。

車両に搭載されたセキュリティ機能からの出力データを解析することでサイバー攻撃を検知し、その影響範囲を特定する技術で、実験車に多種多様なサイバー攻撃を実施し、実験用車両SOCによるサイバー攻撃の検知や影響範囲の分析などさまざまな事象への対応シミュレーションを繰り返すことで、さらなる技術向上を図るとしている。

実際に実験車にサイバー攻撃！守れコネクテッドカー、デンソーなどが技術実証 https://t.co/3zqEOfbkug @jidountenlab #デンソー #コネクテッドカー #サイバー攻撃

— 自動運転ラボ (@jidountenlab) December 18, 2019

サイバーセキュリティ研究担うNDIAS設立

デンソーは2018年9月、野村総合研究所グループのNRIセキュアテクノロジーズと車載電子製品のセキュリティ診断を中心としたサイバーセキュリティ事業を行う合弁｢NDIAS｣の設立を発表した。

同社が培ってきた車載品質や車載に適したサイバーセキュリティ技術開発のノウハウと、野村総合研究所グループにおいてセキュリティ事業の中核を担うNRIセキュアが培ってきたセキュリティ診断やコンサルティング事業のノウハウを生かし、ホワイトハッカーとして自動車の開発段階から量産後に必要となる対応まで一貫した車載電子製品のセキュリティ診断およびコンサルティング業務を行うとしている。

そのNDIASは2019年6月、イエラエセキュリティとサイバーセキュリティ分野において車両・車載電子機器のセキュリティ評価に関する技術を共同開発することに合意したと発表した。高度なソフトウェア解析を得意とするイエラエセキュリティと評価技術などの開発を共同で行うとともに、セキュリティ評価業務の標準化や評価手順のツール化を検討し、セキュリティ評価サービスの一層の品質向上と体制強化を図っていくとしている。

同年8月には、自動運転開発を手掛けるティアフォーと自動運転におけるセキュリティ技術の獲得や向上を目指した共同研究を開始すると発表した。

自動運転向けのハードウェア及びソフトウェアに関するセキュリティリスクの評価手法と対策技術に関し、自動運転を採用する自動車の車両や車載電子製品、コネクテッドシステムを対象とした、今後必要と想定されるセキュリティ関連の新技術の開発をはじめ、自動運転の国際業界団体「The Autoware Foundation」と連携し、自動運転OSを対象としたセキュリティリスクの評価手法と対策技術の開発などを進めるとしている。

デンソー、自動運転時代の守護神に…"ホワイトハッカー"事業で新会社　自動車開発・電子部品のセキュリティ診断｜自動運転ラボ https://t.co/4maaFKe7kf @jidountenlab #デンソー #ホワイトハッカー #自動運転

— 自動運転ラボ (@jidountenlab) October 1, 2018

■【まとめ】専門性高いセキュリティ分野　他社との協業拡大必須に

デンソーが他社との共同研究を積極的に進める一方、トヨタ本体としては業界全体のセキュリティ強化に向けより大きな視点で取り組んでいる印象が強い。

これまで車内で完結していた車載ネットワークが続々と外部との通信を始めているのが現在の段階で、サイバー攻撃の脅威は日ごとに増していると言える。悪い見方かもしれないが、自動運転車の本格実用が始まれば、悪意あるハッカーの攻撃も本格化する恐れがあるのだ。

その一方、Keen Labのようなホワイトハッカーの活動も活発化しており、針に糸を通すような視点で些細な脆弱性すらも浮き彫りにし、セキュリティ向上につなげる取り組みなども今後増加するものと思われる。

AI開発などと同様高度な専門知識が必要な分野であり、また業界が一丸となった取り組みも必須とされる分野であることから、トヨタ本体としても今後サイバーセキュリティ分野における他社との協業も盛んに行われる可能性が高そうだ。