セキュリティ 101 08-22-2018

セキュリティソリューションが必要なコネクテッドカーの現状:PKIの採用

DigiCert Author

2年後の2020年までに、およそ2億5千万台のコネクテッドカーが道路を走る事になると言われています。既に2100万台のコネクテッドカーが運転されているのです。私たちの車の多くは既に私たちが運転している間にも、スポーツの試合結果、交通情報、ソーシャルメディアのアップデートを常時実施するという魅力的な機能を備えています。車と車で通信することでさえ、難しい話ではありません。革新は無限であり、潜在的な脅威もまた無限に存在します。

私たちは、研究者たちによって実演された攻撃を目の当たりにし、コネクテッドカーに対する攻撃が可能であることを知っています。しかし、自動車セキュリティ業界においてはコネクテッドカーに対する攻撃に対する一致した意見はまだ存在しないようです。コネクテッドカーや道路をより安全なものにするためにはどうしたら良いのでしょうか。結局のところ、コネクテッドカーは守らなければいけないエンドポイントの1つにすぎません。業界全体で導入ができるようなソリューションは存在するのでしょうか。私たちは、ある、と考えます。

潜在的な脅威とは?

一般的な消費者は、インターネットに接続する新しい機器やおもちゃを購入する際、セキュリティについて深く考えることはありません。それよりも、生活をより簡単で便利なものにしてくれるかどうか、が購入の際の重要な点です。車も例外ではなく、McAfeeによると「コネクテッドカーは、携帯電話、タブレットに次いで、急成長中の技術機器である」と言われるほど普及しています。 しかし、自動車メーカーやセキュリティ専門家たちは、車載コンピュータが他のコンピュータと同じであることを知っています。外部と通信し、たくさんの情報を保有しているため、大きな攻撃対象となる可能性があるのです。 コネクテッドカーは(あるいは実際に接続しているシステム)はデータ解析を常にしています。たとえば、GPS座標や速度など、あなたの習慣を示す特定の個人情報をたくさん収集し、自動車メーカー(および潜在的な攻撃者)に提供します。これにより、車の部品の摩耗を監視し、メンテナンスの時期を提示することができるようにもなりました。 組織も危険にさらされています。OnStarのようなエンターテインメントやコンビニエンスサービスを提供する企業が自動車メーカーと連携しているため、攻撃者は企業のシステムへ侵入するためのバックドアとして車両を使用することができるのです。 自動車のセキュリティは、情報を危険に晒すだけでなく物理的な危険をも引き起こします。あなたの個人情報が流出する以上の危険がそこには存在するのです。特注デバイスがあれば、遠隔操作で車を検知し、ロックを解除、そして動かすことができます。最悪の場合、攻撃者は移動中に車を物理的に制御することさえできます。TechCrunch(※1)はサイバーセキュリティの障害についてより深く掘り下げています。「車のサイバーセキュリティにおける主な課題の1つは、車内のさまざまな電気部品(電子制御ユニット、またはECU)が内部ネットワークで接続されている事です。したがって、ハッカーが車のBluetoothや情報通信システムのような脆弱な電子制御ユニットにアクセスできるようになると、ブレーキやエンジンといった安全性の高い電子制御ユニットまでもコントロールし、混乱を招く可能性もあります。」 自動車のサイバーセキュリティは、多くの可動部品が存在するため簡単に解決できない問題であり、堅牢なソリューションが求められています。

コネクテッドカーのためのセキュリティソリューション

幸いにも、多くの自動車メーカーはセキュリティを重要視しています。たとえば、フォード社は車両制御システムのネットワークを情報通信システムとは分離して構築し、ソフトウェアの更新やデータ通信を暗号化により保護して、フォードによってコードサイニングで署名されたソフトウェアだけが車載ソフトを更新可能にするなど、通信や車両を保護するための仕組みを組み込んでいます。 コードサイニング証明書(コード署名)は、自動車メーカーおよび企業が信頼する発信元からの通信のみを承認する電子署名の仕組みで、コネクテッドカーのセキュリティソリューションには欠かせない要素です。コード署名は、PKI(公開鍵基盤)テクノロジーであり、暗号化、実在認証および個人認証などを行 い、豊富なセキュリティソリューションを提供します。なかでも、SSL / TLS証明書を使用してWebサイトにHTTPSを提供するWeb PKIは、最も広く知られているPKIの利用方法です。 すべてのPKIシステムには、認証局(CA)と証明書の2つの主要コンポーネントが存在します。認証局は集中管理を行い、個々のユーザーまたはコンピュータに証明書を発行します。これらの証明書が、デバイスを識別して安全に通信し、なりすましや物理的な改ざんを防止します。公開鍵暗号は、ネットワーク上の公開暗号鍵を安全に交換するために使用され、データの暗号化、デバイスの認証などに使用できます。

PKIは、様々な事例で何十年も利用され信頼が証明されたソリューションです。“ウェブトラストエコシステム”は、PKIにより実現されたと言えます。PKIは、インターネットに接続する数十億のデバイスやシステムで使用され、暗号化の提供、ユーザーまたはデバイスの認証、個人の認証を行います。これは非常に適応性の高い技術であり、車両にはさまざまな方法で導入が可能です。コード署名がその一例ですが、PKIを使用して個々の車両(あるいは車両内に組み込まれた個別のチップさえ)をそれぞれ認証して、システム間のデータ通信を暗号化し、整合性チェックを行う事が可能になります。Certicomは、自動車向けPKIの良い事例であり、こちらのホワイトペーパー(英文)で詳細をご紹介しています。

コネクテッドカーがドライバーを保護するための暗号化と認証を導入していない為、ジープ(Jeep)がハッキングされたりアプリの脆弱性が表面化したりするのです。コネクテッドカー向けのPKIによってリモート攻撃を防ぎ、通信を保護することが重要となるでしょう。 メーカーやセキュリティチームが今から実施する事が出来るPKIの詳細については、こちら(英文)をご確認ください。

※1:アメリカのブログサイト。主にIT系のスタートアップやWebに関するニュースを配信している

UP NEXT
5 Min

特集記事

クラウド上で量子コンピュータをいかに保護するか

NIST PQC アルゴリズムに関する詳細な説明

従来の PKI がもたらす割高な機会損失