ネットワークとつながり、さまざまな便利な機能を提供する「コネクテッドカー」が増えています。さらに高度なネットワークシステムの基で安全に走行する自動運転車も、2020年に向けて実用化が始まります。ICT（情報通信技術）の進化で、より快適な移動手段へと進化する車。その一方で、従来の車では考えられなかった「サイバー攻撃」にさらされる危険が生じています。NRIセキュアテクノロジーズ（以下、NRIセキュア）は、10年以上前からこの危険を予測し、車のセキュリティ確保について検討を続けてきました。同社コンサルタントの野口大輔に、今後の車社会の安全に向けて何が必要かを聞きました。

テロ、窃盗、いたずらの脅威

そもそも車に対するサイバー攻撃とは何であり、どんな危険があるのでしょうか。野口は次の3つを挙げます。
「一つはテロです。遠隔操作によって、走行中の車の操舵機能を奪う、ブレーキを効かなくする、あるいはドアをロックして開かなくする、などが考えられます。いずれも人命に関わる危険をはらんでいます。二つ目は盗難。車のキー（鍵）データを改ざんして、車を自分のものにしたり、国外に売りとばしたりしてしまう。三つ目が愉快犯。他人の車のウィンドウを開閉したり、ウィンカーを操作したりといった、いたずらが考えられます」

なぜ、こうした事態が起きるのか。それは、車がさまざまな外部ネットワークやスマートフォンなどのデバイスとつながるようになったことで、一旦、不正侵入されると、車の運転などを制御する部分まで勝手に操作できてしまうためです。野口は、そのことを「車が、おもちゃのラジコン化した状態になる」とたとえます。「ラジコンの車はコントローラーで操作できますね。それと同じことが、実際の車に対してできてしまうのです」

「車両システムセキュリティ診断」を実施

自動車メーカー各社は、この状況を危惧し、数年前からセキュリティ推進室などを社内に設置して対策に動き始めています。NRIセキュアでは、2017年5月から自動車メーカーを対象に、「車両システムセキュリティ診断」というサービスを始めました。同社がハッカーになりかわって、診断対象となった車の車載システムに外部から侵入し、エンジン、ブレーキ、ドアロック、ウィンカーなどの遠隔操作を試みます。

診断項目は、同社が制御機器に関する国際的なセキュリティ基準EDSAなどを取り込みつつ、網羅的に細かく設定。診断によって、個別の車載機器および車両全体の脆弱性を明らかにするとともに改善案を提示し、自動車メーカーはそれらの指摘を受けて、車のセキュリティ強化につなげていきます。（下図を参照）

「車両システムセキュリティ診断」サービスのイメージ

セキュリティを常時監視する仕組みが必要

当面はこうしたセキュリティ診断が有効なものの、「今後重要になるのは、セキュリティの常時監視」と野口は言います。
「これまで車の車載機器・システムは、商品サイクルで言えば、完成して納車された後はリコールされない限り、そこで終わりという世界でした。ところがネットワークでつながることで、納車後の車に対してもセキュリティ確保の必要性が出てきました。サイバー攻撃などの問題がないかを常にチェックし、何かあれば対策を打つ仕組みが必要です。このなかで極めて重要になるのが、不正な攻撃がされていないかを常時チェックする「監視」だと思っています」

未来社会のために多分野で築いた経験と、専門家集団の力を活かす

コネクテッドカーはこれから普及が進み、2035年には発売される新車の9割以上を占めると予測されています。また自動運転車も、走行台数や走行エリアの拡大、自動化のレベル向上とともに普及していくでしょう。そうなると車載システムの通信量や外部接続先は一層増加し、高度化、ハッキングされるリスクも増大します。だからこそ、「車のセキュリティを監視する仕組みが重要であり、車の安全な走行を担保する未来社会の重要なインフラになる」と野口は言います。
「私たちはこれまで、情報セキュリティの分野において日本で数少ない監視サービスを提供してきました。電気やガス、水道などの制御系インフラシステムのセキュリティについては、その重要性が社会にまだ認識されていなかった10年以上前から、警鐘を鳴らし、セキュリティ対策に努めてきました。加えて、攻撃されるリスクの高い金融機関の情報システムを、長期にわたって監視し続けてきた実績もあります。こうしたさまざまな分野での経験を、車が安全に走行できる未来社会の実現に役立てていきたいと思っています」

世界的なハッキング大会などで優勝したメンバーを含むホワイトハッカー（正義のハッカー）集団の力と、さまざまな業界・分野の経験で培った情報セキュリティ確保のための技術やノウハウ。これらを活かしながら、NRIセキュアは、未来の安全な車社会の実現に向けて、さらに尽力していきます。

「車両システムセキュリティ診断」やNRIセキュアテクノロジーズの事業について興味があり、さらに詳しいことを知りたいと思う方のための情報として、以下を紹介します。

NRIセキュアテクノロジーズ公式サイト

『車両システムセキュリティ診断』サービス概要

サイバーセキュリティ：傾向分析レポート2017

NRIセキュアが2016年度に提供した情報セキュリティ対策サービスを通じて得たデータから、「サイバーセキュリティ傾向分析レポート 2017」（以下「本レポート」）をまとめました。今年で13回目の発行となる本レポートでは、弊社のサービスから得た結果を「社外からの脅威」「社内に潜む脅威」「システムマネジメント」と3つの項目に分け、解説しています。