写真提供:マイナビニュース

写真拡大

クルマのコンピュータにもセキュリティが求められる時代になってきた。セキュリティ向け半導体で世界をリードしてきたInfineon Technologiesは、クルマのセキュリティがこれから重要になることを指摘し、そのソリューションを示した。この背景には、自動運転に備えクルマがインターネットクラウドと接続され、さまざまな制御やサービスを提供できるようになることがある。

すなわち、コネクテッドカー時代の到来である。特にクラウドサービス、V2X(クルマと交通信号機や外部の通信器との接続)などの汎用ネットワークとの接続を前提とする時代に入る。これまでは、日産自動車やトヨタ自動車、メルセデスベンツなどが独自のネットワークの元で通信サービスを展開してきたが、最近は、当初の勢いがなく会員数も伸び悩んでいる。ある統計によると、2014年時点でつながっている車の数は5%に過ぎないという。テレマティクスは、独自ネットワークよりも汎用ネットワーク上でつながって初めてビジネスとして本格化する。もちろん自動運転を見据えて他のコンピュータとの接続による高性能化やさまざまなサービス提供も必要になってくる。

そうなると、問題はしっかりしたセキュリティを構築することである。米国のウェブメディアWiredの記者がハッカーと協力し、クルマのコンピュータシステムに入り込めるかどうかの実験をGMのジープ「Jeep Cherokee」(図1)を使って行い、外部から見事に操作できることを示した。2015年7月の記事に掲載している(参考資料1)。

ドライバー(2人の記者)は高速道路を走行中に、カーコンピュータのタッチスクリーンを操作できなくなった。エアコンの空気の口からは冷気が流出、座席の温度制御システムを通して衣服まで冷たくなった。さらにスピーカーからは最大ボリュームでパンクロック音楽が流れ出し、ボリュームを落として音量を下げることができなくなった。挙句の果てに、フロントガラスのワイパーが勝手に動き出し、洗浄液まで出て窓を拭き始めた。

ドライバーはふつうに運転していただけなのに、こういった動作が勝手に始まったのである。最後には、ドライバーがアクセルを踏み続けているのにもかかわらず、ハッカーはパソコンからアクセルを遮断してクルマを止めた。これらはあくまでも実験ではあるが、クルマのM2M通信モジュール、そしてモバイルネットワークを経てインターネットとつながることで、クルマのコンピュータをハッキングできることがわかったのである。

クルマのハッキング対策は実はパソコンよりも面倒だ。というのはパソコンなら1個のCPUを守るだけで済むからだ。ところがクルマのコンピュータ、すなわちECU(電子制御ユニット)は1個ではない。高級車だと60〜100個、大衆車でさえ20〜30個あると言われている。CANやLINなどの通信インタフェースを使って、ワイパー、窓、ウインカー、ランプ駆動など基本的な動作にも簡単なマイコンがECUに搭載されている。スイッチ1つで動く機能にはすべてECUが使われていると言っても言い過ぎではない。

これらのECUをすべてセキュリティから守るとすれば、厄介な作業であることは想像がつくだろう。そして、「走る」、「曲がる」、「止まる」といった基本機能だけではなく、安全・安心・快適・楽しさといった面も求められているため、ECUは増加してきた。

2018年から欧州では、eCallサービスに備え、販売される新車にeCallサービス用の通信モジュールの設置が義務付けられる。このサービスは事故が起きた時に、そのことを即座に「交通管理センター」へ伝え、救急車が駆けつけるシステムである。ドライバーの意識がなくても、救急車は到着できるため、これまで救えなかった命を救えるようになる。このサービスではクルマは常にセンターとつながっている。

クルマの通信は、クルマ同士(V2V)、クルマとインフラ(V2X)、クルマとクラウドだけではなく、クルマとスマホなど外部とのつながりが増えてくる(図2)。セキュリティは、守るべき対象を明確にしてコストや使いやすさとの兼ね合いも重要だとしている。従来通りのソフトウェアのセキュリティ、HSM(ハードウェアセキュリティモジュール)を組み込む、ハードウェアセキュリティ部分を分離する、というようにセキュリティレベルに応じてコスト、使いやすさを考えていく。例えばブラウジングするのにガチガチのセキュリティだと遅くて使いづらいが、暗号化キーや個人情報などを格納する部分などはしっかりしたセキュリティが重要、という具合に対応する。

Infineonは、レベルに応じて使うべきマイコンにセキュリティを組み込むもの、セキュリティだけを扱う専用マイコンなどとレベルに応じたデバイスを持っている(図3)。セキュリティの仕組みをマイコンに集積したAurixシリーズ、テレマティック機能に特化して通信オペレータに合わせたコネクティビティのチップSLI 76/SLI 97、汎用の認証機能や暗号キー生成・管理機能を集積したOptiga TPMシリーズ、外部通信をセキュアにするV2Vに特化したSLI 97 V2Vなどをそろえている。

例えば、外部からセルラーネットワークを使ってECUのソフトウェアを更新する場合の例として図4のようなシステムを想定している。テレマティックスで外部のインタフェースからはまずSLI 76/SLI 97で認証を受ける。ここではクルマ固有のIDとサーバとの間で更新する。アプリケーションプロセッサやモデムを通ってデジタル信号を復調した後、Optiga TPMでデータを暗号化し、暗号キーを管理する。暗号化されたデータをAurixでマイコン処理する。2014年から第1世代のAurixにはHSM(Hardware Security Module)を集積している。

また、車内のECUをある程度束ねるゲートウェイでは、暗号化されたデータをやはりAurixで処理・制御するが、その場合もOptiga TPMで暗号化する。HSMを経てデータを更新したいECUへ暗号化データを送る。

これらのICの進化も進んでいる。Aurixシリーズは、現在使われている第1世代版に加え、安全規格ISO26262のASIL-Dコンセプトもインプリメントした第2世代版のAurixを開発中で、2018年にリリースする計画だ。その場合、HSMも第2世代版に合わせたものに改善するとしている。従来のSLI 76は通信オペレータ1社にしか対応していないが、複数のオペレータに対応するSLI 97もリリースする。

参考資料
1. Hackers Remotely Kill a Jeep on the Highway-With Me in It(2015/07/21)

(津田建二)