2020年9月16日
サイバーセキュリティ:自動車品質の新側面
21世紀の自動車も機械的装置であると、かなりの人が考えているようだ。確かに、自動車にはさまざまな用途の電子機器が多少なりとも取り入れられているが、結局は機械工学が作り上げたものだ。シャーシ、エンジン、車輪、ハンドル、ペダル、…すべて機械だ。電子機器は(「コンピューター」を含め)、機械部分の機能を補助しているだけだ。実際、最近のダッシュボードはほとんどがデジタル表示になっている。
率直に言おう。そんなことはない。
現代の自動車は、基本的に特殊なコンピューターだ。我々が「自動車」という言葉から連想する昔ながらの機械装置や電気装置—エンジン、ブレーキ、方向指示器、ワイパー、エアコンなど—を制御する、「サイバー脳」なのだ。
たとえば、以前はハンドブレーキといえば例外なく機械式だった。手で握って引くと、きしむような音を立てる。それが今はボタンを押すだけになっている。機械要素はゼロ。100%コンピューター制御だ。ほとんどのものがそうなってきた。
さて、自動運転車といえば、コンピューターが車を操縦するものだと考える人が多い。では、最新型の自動車でハンドルを握っているのが人間なら、(コンピューターではなく)人間が運転していることになるのだろうか?
もう一度言おう。そんなことはない。
最新型の自動車になると、車が自律的に走ることと人間が運転することの違いは、後者では車載コンピューターを人間が操作し、前者では車載コンピューターを非常に高性能なメインコンピューターが制御する、というだけのことだ。そのメインコンピューターを開発するのはGoogle、Yandex、Baidu、Cognitive Technologiesといった企業だ。このコンピューターは、目的地を与えられると、ナノ秒単位で更新される超スマートなアルゴリズムに基づいて、周囲の状況をくまなく確認し、目的地までどのように移動するか(時速、経路など)を判断する。
自動車のデジタル化に関する小史
では、機械からデジタルへの動きは、いつ始まったのだろうか?
一部の専門家は、自動車産業のコンピューター化は1955年に始まったと考えている。Chryslerが、ある車種にオプションとしてトランジスターラジオを搭載し始めた年だ。その一方で、ラジオは厳密にいうと自動車の機能ではないので、電子制御式点火装置(Pontiac、1963年)、アンチロックブレーキシステム(Chrysler、1971年)、電子エンジン制御システム(GM、1979年)をもって自動車のコンピューター化の嚆矢とする考え方もある。
始まった時期にかかわらず、それ以降がおおむね同じように進んだことは間違いない。電子化が進み、続いてデジタル化が始まった。その境界線はあいまいだが、私が考えるに、自動車技術においてデジタル革命が始まったのは1986年2月、SAE Internationalの会議でRobert Bosch GmbHが自動車の電子部品間での通信に用いるデジタルネットワークプロトコル「CAN(Controller Area Network)」を発表したときのことだ。彼らには当然の尊敬が与えられるべきだ。こんにちもなおCANプロトコルは十分に機能しており、実質的に世界中のあらゆる車に使われている。
CAN以降の自動車とデジタルに関する、詳しすぎるまとめ
BoschからはさまざまなタイプのCAN(低速、高速、FD-CAN)がリリースされたが、現在ではそのほかにFlexRay(トランスミッション)、LIN(低速バス)、光ファイバーのMOST(マルチメディア)、そしてついに車載Ethernet(現在は100mbps、将来的には最大1gbps)といった技術も登場している。今どきは自動車を設計する際に、さまざまなプロトコルが採用される。ドライブバイワイヤー(機械的な接続に代わる電気システム)は、電子ガスペダル、電子ブレーキペダル(1998年以降トヨタ、Ford、GMがハイブリッド車と電気自動車に採用)、電動パーキングブレーキ、電子トランスミッション、電動ステアリング(2014年のInfinity Q50で初めて採用)をもたらした。
BMWのバスとインターフェイス
2000年になると、ホンダが電動パワーステアリング(S2000に搭載)を発表する。一定の条件下でハンドルを操作できる仕組みだ。キーレスイグニッションシステムも同じころに登場し、ドライバー不在でもエンジンの制御が可能になった。2010年からは一部のダッシュボードが完全デジタルとなり、ありとあらゆる数値を表示できるようになる。2015年には、ほぼすべての新車でボディ各部(ドア、ウィンドウ、ロックなど)の電子系統が中央コンピューターに接続され、自律的な動作が実現。車外の環境についての情報もすべて(カメラ、アシスタント、レーダー、マイクなどを通じて)内部バスでアクセスできるようになった。要はクラウド対応になったのだ。
余談が詳しくなりすぎたが、最後に国連が2019年に採択したこの文書を紹介したい。ブレーキの完全デジタル化に関する標準を定めたものだ。それまでは電子制御式のブレーキペダルには物理的なケーブルも必要だったが、不要になった。
常時接続が今や生命線
では、現代の自動車はどんなOSで動いているのだろうか?おなじみのWindows、Linux、Androidだ。QNXも、Linuxと並んで広く使われている(ただし、アナリストが指摘するように、Androidが急速に追い上げている)。ちなみに、他のソフトウェアと同様、自動車用のOSもときどきアップデートが必要になる。ただし、アップデートのサイズが数十GBに及ぶ場合がある。
BMWの車載コンピューターのアップデート
本題に入る前に、ここでもう一つ寄り道したい。
最新の自動車がコンピューターであり、定期的にアップデートされるということは、インターネットに接続しているという意味でもある。しかも、最近ではそれがオプションではなく、すべての新車で必須になっている。ロシアでは2017年から、ヨーロッパでは2018年から、その他の国々でも。そして、いわゆる「コネクテッドカー」(メーカーのクラウドに接続している自動車)の割合は今、全世界で急速に100%に近づきつつある。自動車の常時接続を禁じる国もいくつかあるが、それはひとえに旧態依然とした法制度が理由であり、いずれは改訂されるだろう。
ところで、インターネット接続された自動車が初めて登場したのは1996年、General MotorsとMotorolaが共同開発したテレマティクスシステム、OnStarの登場による。このシステムによって、事故のとき自動的にオペレーターに接続できるようになった。そう、『ダイ・ハード4.0』のような「事故」のときにだ。
2001年にはリモート車両診断が登場し、2003年になると、コネクテッドカーは車の状態に関するレポートをメーカーへ送信できるようになった。データのみのテレマティクスは、2007年に登場している。
2014年には、Audiが世界で初めて、自動車に4G LTEのWi-Fiホットスポットを搭載するオプションを打ち出した。翌2015年、GMはこのオプションを提供するのみならず、新車すべてにホットスポットを搭載開始し、カーオーナーから送られるテレマティクスレポートは10億を超えた。今や、メーカー各社はテレメトリーの収益化も始めており、その最先端を走っているのがBMWだ。スマートフォンと自動車技術の融合も始まっている。
では、ここで問題だ。これは何のスクリーンショットだろうか。
読者の皆さん、これはあなたが乗っている車の情報だ。少なくともメーカーにはこのように見えている(もしかすると世界の反対側にいるかもしれないメーカーのスタッフが、リアルタイムで常時これを見ている)。あらゆる制御ユニットの監視と調整が可能なソフトウェア、ネットワークトポロジー、ルーティング規則、ローダー、アップデート、すべてが彼らの手の内にあるかのようだ。だが、そこにはバグや脆弱性も存在する。…あなたは身震いを覚え、自動車が自動車だった80年代に戻りたくなるかもしれない。私はことさらに不安を煽っているわけではない。脅威は現実のものだ。
トンネルの先に見える光明
この20年ほどで電子・デジタル・自動車の一体化が進んできて、自動車産業の革命はすぐそこまで来ているように感じられる。しかし、だ!コンピューター化した超コネクテッドカーの明るい未来を夢見るのは素晴らしいことだが、厳しい現実も立ちはだかっている。法制度と技術面にの双方において。ここでは、技術面について話をしよう。
新しい自動車のパラダイムは、最新の自動車エレクトロニクスの上にポンと重ねられるような単純なものではない。なぜなら、最新の自動車の内部には、さまざまなメーカーが、さまざまな時期に、さまざまな標準に従って開発した電子ユニットがおよそ150も存在するからだ。しかも、この新しい自動車のパラダイムが直面するサイバー脅威の現状が、まるで考慮されていない。
自動車メーカー各社は、少なくとも、多様な電子部品がめちゃくちゃに混在している現在の自動車を土台として車とすべてのモノをつなぐユートピア的なV2Xの未来を築くことなど論外であることを理解しているようだ。それを裏付ける事例も多数あり、報道されないものも多々ある。こうしたわけで、今のところ、自動車製造業界は袋小路に入り込んでいる。
こうした行き詰まりは珍しいことではない。Windowsの2つのアーキテクチャ(9xとNT)が長きにわたり併存していたことを思い出して欲しい。それでも、過去に学んだ教訓をこの事態に当てはめてみると、自動車業界が袋小路の先に出口を見出すには、可能性として2つのシナリオが見えてくる。
第1のシナリオは、安上がりで時間のかからない、そして誤った筋書きだ。ここまでで「すべきではない」と私が述べたとおりのことをする、つまり、現在の状況の自動車に、そのまま新しいパラダイムを重ねるのだ(150種以上の具材の入ったデジタルの混沌を引き連れて)。このシナリオが「誤っている」のは、第2のシナリオの進行を遅延させるためだ。しかし、人命に危険が及ぶより前に(そう、これは自動車の話であって、部屋の中にあるPCの話ではないのだ)、まず深刻な悪評が立ち、財政的なマイナスが生じるだろう。
第2のシナリオは、安上がりではなく時間もかかるが正しい方向である。新しいアーキテクチャを、以下の3つの大原則に基づいて一から組み立てるというものだ。
- ハードウェアとソフトウェアを分離する(柔軟性)
- 電子的な機能を集約する(管理性)
- 「セキュアバイデザイン」である(安全性)
初めの2つについては、自動車業界にも豊富な経験とノウハウがある。3番目に関して必要なのは、サイバー脅威の現状について十二分な知識をもち、解決策を生み出すことのできる専門家だ。スマートカーは将来的に、コンピューターやネットワークで我々が目にしているのと同じようなシナリオでハッキングを受けるだろう。では、そうしたシナリオを誰よりも知り尽くしているのは誰か?答えはお分かりかと思う。そこで、長々と綴ってきた今回の記事の締めくくりに、我々の提供するサービスについてお話ししたい。
当社は2016年に運輸関連のサイバーセキュリティの専門部署を立ち上げ、翌2017年にはSecure Communication Unit(SCU)の最初のプロトタイプに着手した。これは、名前が示すとおり、自動車のデジタルコンポーネントと車外のインフラ関連コンポーネントとの通信を保護するためのものだ。そして現在、自動車の電子部品開発に向けた当社独自のセキュアOSをベースにしたプラットフォームが存在する。
そして、今年6月の出来事についてもお伝えしたい。我々は、AVL Software and Functions GmbHと共同で、先進運転支援システム(ADAS)の開発に関する発表を行った。これもKasperskyOSをベースにしたシステムであり、ドライバーへの支援と事故リスクの低減を実現する。
高性能なSystem-on-a-tip(SOC)プロセッサー2つとセーフティコントローラーで構成されたこのユニットは、多様な外部デバイス(カメラ、ライダーほか関連コンポーネント)に接続機能を提供し、AUTOSARのAdaptive Platform標準に対応している。こうした構成のため、セキュアバイデザインの保護(詳細はこちらを参照)が実現する一方で、自動車の各種機能のインストール、調整、アップデートの可能性が大きく開けることにもなる。ちょうど、スマートフォンにアプリストアが用意されているのと似た感じだ。
しかし、重要なのはここからだ。自動車のいずれかのコンポーネントで脆弱性が見つかったとしても、ハッカーは、他のコンポーネントに対して危険なコマンドを実行することや、アクセス権を取得することはできない。すべてのプロセスは完全に分かれており、その動作は、要件に合わせて調整されたルールを備えたセキュリティサブシステムによってフィルタリングされる。
エピローグ
我々は、自動車オートメーションの分野で、真に有利な立場を目指そうとしている。競争の激しい市場ではあるが、(非常に重要な)サイバーセキュリティというニッチ分野にかけては、我々の右に出る者はないと自負している。
GENIVIおよびAUTOSARの一員として、また各種討論の場(たとえばUNECE WP.29)や業界イベントに参加することで、我々は他団体が新たなアーキテクチャを構築する試みを目にしている。たとえばLinuxを基にしたアーキテクチャなどだ。だが、そのどれも、はるかに広がる可能性や、後からの修正が単純に不要となる数学的に証明された「セキュアバイデザイン」の公式をもたらすようなものではない。
我々の公式は(i)コンパクトなコードでゼロから構築したマイクロナノカーネルアーキテクチャ、(ii)粒度の高いコンポーネント通信ルール、(iii)プロセスの完全分離、(iv)保護されたアドレス空間で実行される操作、(v)デフォルト拒否、(vi)顧客向けのオプションのオープンソースコード、そして(vii)実装の成功事例で成り立っている。物事を正しく進め、末永く信頼性を確保したいと考える自動車メーカーを引き付けるのは、我々のOSの持つこうした特性なのだ。
もちろん、メーカー各社にとっての魅力はそれだけではない。
自動車固有のセキュリティに加え、我々にはインフラ向けのソリューションおよびサービスの充実したポートフォリオがある。未来の自動車を保護することは、大きなパズルの1ピースにすぎない。その延長線上には、エンドポイントノードを含むバックエンドデータの保護、クラウド監査(漏洩がないかどうかの検証)、安全なモバイルアプリの開発、オンライン詐欺の防止、サプライチェーン管理、インフラに帯するペネトレーションテストなど、さまざまなものがある。こういったものを整理して対応しようというとき、さまざまなベンダーが雑多に混在した状況を望む人などいない。
最後に、理解を助けるため、コネクテッドカーのサイバーセキュリティに関するMcKinseyレポートからいくつか引用する。私が思うに、この市場で最も正確で先見性のある分析資料だ。
「自動車メーカーは、中核的なバリューチェーン活動に伴う(サイバーセキュリティの)当事者意識と責任を(多数のサプライヤーも含めて)割り振り、中心となるチームの間でセキュリティの文化を受け入れなければならない」
「自動車に携わる関係者は、車を顧客に販売するまでではなく、ライフサイクル全体にわたってサイバーセキュリティを考慮する必要がある。新しい技術上の脆弱性は、いつ現れるとも限らないからである」
「自動車メーカーは今や、サイバーセキュリティを、コアビジネスの各種機能および開発の取り組みにおいて不可分のものと考えるべきである」
言い方を変えるならば、こういうことだ。「サイバーセキュリティは、自動車品質の新たな側面となる」