前々回、前回と、スマートホームのセキュリティを取り上げました。スマートホームがもたらす「より便利に、より快適に」のメリットを享受し、セキュリティリスクを最小化するには、利用者のリスク認識と、ベンダー側のセキュリティ対策およびユーザーにリスクを認識させる努力が、それぞれ必要だというお話でした。
さて、今回は、IoTセキュリティの中では最も難しい部類に入ると思われる自動運転について取り上げたいと思います。一口に自動運転といっても、人がどれくらい運転に関与するかによってレベル分けされているのですが、本記事は入門ですので、皆さんの自動運転のイメージに最も近い「レベル4:完全自動運転(運転に人が介在しない。要は、寝ていても目的地につく)」(※1)を中心に考えてみましょう。
※1 米運輸省道路交通安全局の基準ではレベル5に当たる
自動運転の仕組み
自動運転のセキュリティについて議論する前に、自動運転の仕組みを説明しましょう。今回は入門ということで、細かい話は抜きにして、以下に大まかな構成を示します。
まだ世の中に、レベル4の車は発売されていないので、実際にレベル4の車ができたとしたら、上記の自動運転の仕組みとは異なるかもしれません。自動運転(レベル4)とは基本的には、上図のように、カメラやセンサー、レーダーのような「目や耳」の機能と、外部I/F(インタフェース)からのGPS情報、車同士の通信情報などをもとに、駆動系と呼ばれるアクセル、ブレーキ等を制御することによって、さも人間が運転しているかのように、いやそれ以上に安全で正確な運転を、車だけの力で実現しようとするものです。
今、高齢者の運転による交通事故多発が問題になっています。交通事故件数自体は減っているのに、高齢者運転による事故比率が年々増加しているそうです(※2)。その原因の8割弱が高齢の運転手のミスが原因でした。もし、人が運転しない自動運転が実用化すれば、このような社会問題の解の1つとなるでしょう。
自動運転のセキュリティ脅威と対策とは?
自動運転の議論が、前回のスマートホームと違う点は、何よりも、真っ先に人命がかかっていること、しかも、運転した車に乗っている人の被害だけではなく、歩行者や他の車両などに危険を与える加害者となる可能性もあるということです。
したがって、セキュリティ脅威の対象となる守るべきものは、「車内および車外周辺の安全」が最優先となります。あとは、重要と思われる順に、「運転記録などの個人情報の機密性、完全性」「駆動系に関わらない機能の可用性(カーナビ、エンターテイメント)」などが考えられるでしょう。
では、これらの守るべきものへのセキュリティ脅威を考えてみましょう。
上図からすぐに想像できるのは、外部I/Fからの侵入、改ざん、乗っ取りなどです。例として、カーナビなどに付属するUSBポートや、車同士の通信で相互の距離の情報を得るための通信経路を経由しての攻撃が想定されます。自動運転車ではありませんが、ハッカーが運転中の車を遠隔操作できることを発表したために、製造元が140万台のリコールを行ったケースも報告されています。また、同様の侵入経路を用いて、どこからどこに移動したといった運転記録などの個人情報の漏洩や改ざんもありえるでしょう。
これらのセキュリティ対策は、これらの外部I/Fを通じて得る情報の正当性、機密性をいかにして確保するかがポイントとなります。
ここまではよくあるセキュリティの脅威ですが、せっかくなので、自動運転車ならではの脅威を紹介しましょう。
上図の右側にあるカメラ/センサーやレーダーも駆動系につながっているのがわかると思います。これらの機器への攻撃手法として、ジャミングやスプーフィングなどが知られています。
例えば、ジャミングであれば、センサーやレーダーに対して、共鳴するような超音波(ノイズ)を発生させて、誤動作を引き起こす攻撃です。これによって、誤ったインプットを受け取った車が事故を起こす可能性があります。実際、こういったアナログな攻撃ほど防ぐのが難しいのです。対策としては、このような状況を何とか検知して運転手に異常を知らせたうえで、とにかく安全に止まることしかないでしょう。
サイバー攻撃で交通事故が発生した時に責任を取るのは誰?
サイバーセキュリティに絡んだ制度面でも課題があります。それは、自動運転によって、運転主体が「人」から「車」に移ることによって、交通事故が起こった場合の責任の所在はどうなるのかというものです。どんなに完全な自動運転車を作ったとしても、必ず交通事故は起こります。
事故原因が何らかの自動運転車の機能の不具合によるものであれば、メーカーが責任を問われるでしょう。ですが、もしサイバー攻撃によって交通事故が発生したらどうでしょうか? 当然、「サイバー攻撃をした人」が責任を取るのでしょうが、少なくとも情報セキュリティの世界ではサイバー犯罪者は捕まらないことのほうが多いです。
捕まらない場合、誰が責任を取るのでしょうか。まず、ただ座っていただけの乗客のせいではなさそうです。サイバー攻撃を許す欠陥をもっていた自動車メーカーでしょうか? いやいや、もし自動運転用の通信網から侵入されたのがきっかけだとしたら、その通信網を管理していた事業者の責任かもしれません。はたまた、もし、自動運転の行先指示用のスマホアプリにマルウェアが埋め込まれていたのが原因なら、そのアプリのメーカーの責任なんてこともあります。もっとひねくれれば、実は単なる機能の不具合が事故原因なのに、自動車メーカーが、サイバー攻撃のせいだと虚偽の申告をしてくるかもしれません。
ここで、重要性を増すセキュリティ対策が、走行中データやセキュリティのログを改ざんされないように保護することです。責任の所在をあとで明らかにするためにも、自動車保険(自動運転車への適用があるのかわかりませんが)の支払いの際もこれらのデータの保護は重要となるでしょう。
眠ったままで目的地に着く未来は遠い?
ここまで考えてみると、筆者の感覚では、自動運転車(レベル4)の実現には、まだまだセキュリティ面、制度面に課題が山積している感じがします。したがって、自動車メーカー各社が発表しているロードマップである2020~2030年よりも遅れるのではないかという気がしています(参考資料)。
確かに、運転座席で眠ったままでも目的地に着いてしまう未来は魅力的ですが、それはもはやこれまでの車ではないでしょう。運転座席もないですしね。日本語としては、むしろ、自動運転車(レベル4)こそが「自動車」で、人が運転する車は「運転車」と呼んだほうがよいかもしれません。
それはさておき、この難しさを生んでいる原因は、「安全」が一番の脅威となっていることで妥協が許されない点と、人の協力なしに、「人」以上のものを実現しようとしている点にあるのだと考えます。
* * *
さてこの連載で、ここまでお話してきたことは、「モノ」がインターネットにつながることによって、従来の情報セキュリティだけではなく「モノ」の事情を考える必要があり、その「モノ」が異なるがゆえに、業界ごとのIoTセキュリティのカタチが随分と違っているということでした。
次回は、ここまで個別の業界を掘り下げたときに見えた要素を抽出しながら、任意の業界のIoTセキュリティを検討するための方法論についてお話します。
著者プロフィール
佐々木 弘志(ささき ひろし)
マカフィー株式会社 セールスエンジニアリング本部 サイバー戦略室 シニアセキュリティアドバイザー CISSP
2014・2015年度に、経済産業省の委託調査で米国や欧州の電力関連セキュリティガイドラインの現地ヒアリング調査を実施、日本国内の電力制御セキュリティガイドライン策定に貢献。
また、2016年5月からは経済産業省非常勤アドバイザー「情報セキュリティ対策専門官」として、同省のサイバーセキュリティ政策に助言を行う。