セキュリティストラテジスト マイク・ピッテンジャー
Q:自動車のコンピュータ化/コネクテッド化が進むなか、サイバーリスク管理に関する課題にはどのようなものがあるのでしょう?
A:自動車のサイバーセキュリティリスクと他の業界のリスクとの違いはまったくありません。自動車も、携帯電話やデスクトップ、データセンターと同じような攻撃を受けるだろうと私は考えています。サイバーセキュリティ防御は、サーバやデスクトップコンピューティングの進化と歩調を合わせて進化しています。
コードの急増:前述しましたように、1台の新車に100万行以上のコードが使用されていることもあります。ちなみに、スペースシャトルで使用されているコードの行数は約40万、F-35戦闘機だと約2500万行、Windows XPで約4000万行となっています。車載されているソフトウエアの数は最近になって大きく増えており、OEMされるソフトウエアの価値も大きく上昇しています(Teslaではソフトウエア対応アップグレードを最大2万ドルで提供しています)。その結果、イノベーションにさらに拍車がかかり、2007年にiPhoneが登場したときのモバイルマーケットと同じような状況が生まれるでしょう。違いは、Appleとモバイル通信企業は「システムにセキュリティを組み込む」という習慣をすでに持っていたということです。
サプライヤの急増:Microsoftが独自にWindows XPを構築したのに対して、コネクテッドカーのエコシステムは、自動車メーカー、それらメーカーの既存のサプライヤ、ならびにGoogleやApple、Uberといった新しい技術サプライヤが混ざり合ったかたちになっています。コネクテッドカーのサプライチェーンは、複雑化しており、サイバーセキュリティリスクの管理経験がそれぞれに異なる、多種多様なベンダーで構成されています。自動車メーカーは、何十年もかけて、物理的な部品の品質をサプライチェーン全体にわたって保証するための、成熟したプロセスを構築してきましたが、ソフトウエアのセキュリティリスクを管理するための規則やベストプラクティス、アーキテクチャは、現在まだ構築中の段階です。
製品ライフサイクル:自動車の場合、耐用年数が長く、内蔵されているソフトウエアの「パッチ」をいかに適用するかという問題もあるため、セキュリティリスクの管理はより困難となっています。スマートフォンやラップトップの耐用年数は数年で、スマートテレビだと10年ですが、自動車の場合は、投入されるまでに数年の開発期間があり、使用可能期間は20年以上となっています。そのような長期にわたってソフトウエアを維持しようとするのには、問題がつきまといます。「ワイヤレス」のアップデートおよびセキュリティパッチは、デスクトップやモバイルのデバイスでは一般的な方法となっていますが、自動車技術では常に可能というわけではありません。Teslaは現在、迅速かつ徹底的な対応(または緊急アップデート)ができる唯一の車両となっています。たとえそうだとしても、通勤の途中で自分の車にオペレーティングシステムのアップデートを適用したいと誰が思うでしょう?!
もっとも深刻なケースでは、セキュリティ関連のリコールが増えるでしょう。これまで、リコールによる改修率が100%になった事例はなく、一部のクルマはリスクにさらされたままになっています。自動車に差し込むハードウエアをオーナーに送付するというJeepの戦略は、短期的には適切かもしれませんが、それ自体に問題をはらんでいます。送られて来たハードウエアを差し込むのを、消費者は便利に思っているのでしょうか? もしそうだとしても、ハッカーが自動車に侵入するためのニセのデバイスを送ってきたらどうするのでしょう?メーカーとオーナーの両方は、車載ソフトウエアのアップデートとセキュリティという、新たな課題に直面することは確実です。
Q:自律走行車のエコシステム内にいるOEMやスタートアップ、その他関係会社は、リスクを緩和するために何をすべきなのでしょうか?
A:安全への取り組みと同じように、自動車のセキュリティを保つためには、サプライチェーン全体を可視化し、管理を行うのが重要となるでしょう。コネクテッドカーのテクノロジサプライヤのコードがどうなっているのかをメーカーが把握しないと、サイバーセキュリティリスクを管理できなくなるでしょう。業界は、自らに課すべき、一連の「最小セキュリティ要件」を定めことから始めるのがいいでしょう。この要件に従わない企業はマーケットによって罰せられるでしょうし、最小要件を十分以上に満たしている企業は、このことを競争上のアドバンテージとして利用することができるでしょう。政府の規制も最終的には追いついてくるでしょうが、賢い企業は規制を待ちません。これら企業は、自らのブランドと収益にセキュリティ侵害が与える影響を理解しており、サイバーセキュリティに対してそれ相応の投資をするでしょう。
現在、AUTOSARに代表されるように、業界内の多くのパートナーシップや団体がセキュリティ関係の規格や対策に取り組み始めています。これらの活動を通じて、業界全体がGoogleのような新規プレーヤーから専門知識を得ることができるようになり、具体的なアクションをとることができるようになるでしょう。これらの取り組みが集約的なものになり、業界が、新聞の1面に載るような自動車セキュリティの侵害を避けられるようになればいいと思っています。
オートメーション新聞は、1976年の発行開始以来、45年超にわたって製造業界で働く人々を応援してきたものづくり業界専門メディアです。工場や製造現場、生産設備におけるFAや自動化、ロボットや制御技術・製品のトピックスを中心に、IoTやスマートファクトリー、製造業DX等に関する情報を発信しています。新聞とPDF電子版は月3回の発行、WEBとTwitterは随時更新しています。
