自動車業界のサイバーセキュリティへの取り組みとは、J-Auto-ISACの果たす役割

「自動車がスマホ化する」などと言われているが、製造業の視点では正直ピンとこないだろう。しかし、少なくともサイバーセキュリティの視点では、自動車もスマホやPCと同じ次元で対策や対応が求められている。業界人ならば、この認識を持つことは重要だ。

サプライチェーン全体に求められるセキュリティ対策

現在の自動車はECUなしでは製品として成立しない状態だ。自動車の機能にECUが欠かせないということは、それを動かすソフトウェアも必須である。ソフトウェアがなければ「文鎮化」するという点で、スマホと自動車に区別はない。すでに道路交通法や道路運送車両法が改定され、サイバーセキュリティ対策を行っていない企業は、自動車を作ることができなくなる。当面はコネクテッドカーや自動運転の新型車両が対象だが、今後は既存車両にも適用される。

自動車メーカーおよびサプライヤーは、サイバーセキュリティ体制を整備し、自動車の製品としてのライフサイクルでのセキュリティ基準を満たす必要がある。対応できないと型式指定を受けられなくなる。
OEMやTier1が指定するアプリやクラウドサービスを通じて、OEMのシステムにサイバー攻撃をしかけられる可能性もある。法改正の影響はサプライチェーン全体に及ぶだろう。

サプライチェーン攻撃はすでに現実の問題

ISACとはInformation Sharing And Analysis Centerの略称であり、その名前のとおりセキュリティに関する情報を発信・共有するためのしくみ（機関）だ。業界に関係する脅威情報や脆弱性情報などを収集・分析して業界内に周知させる。国内にはすでに情報通信や金融機関といったISACがある。

昨年、自動車業界ではJ-Auto-ISACを立ち上げた。現状取り組みの3本柱は、「技術委員会、SOC（Security Operation Center）、サポートセンターだ。会員企業は、主だった、OEMとサプライヤーが100社以上」（内藤氏）となっている。しかし「参加企業はまだまだ足りない」という。

自動車産業のようにサプライチェーンが複雑かつ多層化していると、全体のセキュリティレベルは、いちばん弱いところを基準に考えなければならない。そのため、下流にいる中小企業だからセキュリティ対策を緩めてもいいということにはならない。攻撃者は、ガードの弱いところから侵入する。

なぜ業界ISACが必要か：情報共有の重要性

脅威情報や脆弱性情報の共有はいかに重要か。攻撃者は基本的にソフトウェアの脆弱性を利用することが多い。同じ業界の攻撃情報が観測・共有されたら、自社のシステムやアセットの点検はセキュリティ対策・対応の定石だ。

サイバー攻撃の被害はあまり公開されない。自社の技術や企業秘密にかかわるとして秘匿されがちだ。業界内に脅威や警告が広まらず対策が進まない。結果として攻撃者を利することになる。逆に、攻撃の被害情報は、一般に公開されなくても、業界内で共有できれば対策強化につながる。

つまり、ISACのようなしくみは、この問題に有効なソリューションとなる。個別の被害企業や特定情報などを排除して、必要な脅威情報だけを共有できるからだ。

共有すべき情報は脅威情報と脆弱性情報

J-Auto-ISACが取り扱う情報は、前述の脅威情報と、攻撃につながる脆弱性情報だ。

脆弱性とは、ソフトウェアなどに存在する攻撃経路の一部として悪用できるウィークネス、つまり望ましくない振る舞いにつながる欠陥である。単純にバグであることもあるが、仕様上は問題ないが、悪用可能な機能であることのほうが多い。設計時には考えが及ばないような機能の使い方、機能上禁止することができない悪用という場合もある。

脆弱性はあらゆるソフトウェアに存在するといってもよい。したがって、ソフトウェア業界では、脆弱性情報の共有とその対策（セキュリティパッチ）が欠かせない。ソフトウェアの安全性は継続的なセキュリティメンテナンスによって維持されるからだ。ソフトウェアの重要性が増すCASE車両にとって、脆弱性情報を正しく取り扱うことはとても重要だ。

情報をどうやって集めるか

攻撃者を事前に把握・特定できない以上、脅威情報や脆弱性情報はなるべく広範囲から集める必要がある。その中から自社製品に関係ある情報を選別しなければならない。この作業もISACの枠組みが活用できる。

脅威情報は、セキュリティベンダーに依頼すれば提供してくれる。脆弱性情報は国際的に管理する枠組み（データベース等）が存在するが、その情報量は膨大だ。脆弱性情報の特定や分析・解釈、対策方法には専門家の介在が必要となる。これは、お金で解決できる問題だが、ベンダーや専門家に委託すると費用は概して高額になる（数千万から数億）。ISACのような業界団体が間に入ってベンダーと契約すれば、会員どうしの共有がしやすくなる。

J-Auto-ISACでは、まずは車両内部に搭載されるソフトウェアなどにフォーカスして、独自の情報収集体制と発信体制を整えているところだという。また、インシデント対応の支援も行っていきたい（内藤氏）とする。

サイバーセキュリティへの取り組みを考えているが、なにをしたらいいかわからないという企業は、J-Auto-ISACからヒントが得られるかもしれない。また、サプライチェーンの下流にいる企業も積極的にセキュリティ対策を考えるべきだろう。