NEDO ワシントン事務所:デイリーレポート

2016年

■ エネルギー・環境・産業技術関連では、以下のような動きがあった

11月10日号

運輸省の国家道路交通安全局、自動車のサイバーセキュリティに関する指針を発表

運輸省の国家道路交通安全局(National Highway Traffic Safety Administration =NHTSA)は10月24日、自動化が進み、ワイヤレス技術への依存度が高まる自動車を悪質なサイバー攻撃やハッキングから守るため、『近代的自動車のサイバーセキュリティ・ベストプラクティス(Cybersecurity Best Practices for Modern Vehicles)』という指針(注:1)を発表した。同指針には法的拘束力はなく、NHTSAは自動車メーカーに、自動車サイバーセキュリティのための「階層的アプローチ(layered approach)」を自発的に確立するよう求めている。

今回発表された指針は、「特定、保護、検知、対処、回復(Identify, Protect, Detect, Respond, and Recover)」という5つの主要機能を重点として国立標準規格技術研究所(NIST)が策定した『重要インフラ・サイバーセキュリティ改善の為の枠組み(Framework for Improving Critical Infrastructure Cybersecurity)』、及び、NHTSAが民間から集めたフィードバックに基いてまとめられたもので、自動車メーカーが自動走行車やコネクテッド・カー(connected vehicle)を開発する際に自発的に採用すべき一連のサイバーセキュリティ・ベストプラクティスを提示している。同指針の主要点は以下の通り。

  • サイバー攻撃の影響を受けた場合であっても、自動車システムが安全かつ適切に対応することを保証するため、車両・システム・ソフトウェア製造に従事する企業は階層的なサイバーセキュリティ対策を策定する。
  • 自動車業界は、ISO 27000シリーズ基準といった一連のITセキュリティー業界基準や、インターネットセキュリティ・センター(CIS)の「効果的なサイバー防衛の為の重要なセキュリティ管理(Critical Security Control for Effective Cyber Defense)」といったベストプラクティスの見直し・検討を行なう。
  • 自動車業界は、NIST、NHTSA、業界団体、自動車情報共有・分析センター(Automobile Information Sharing and Analysis Center =Auto ISAC)、その他の公認基準設定団体が公表したガイダンス、ベストプラクティス、及び設計原理を活用する。
  • 自動車業界はサイバーセキュリティを最優先として、サイバーセキュリティ対策の研究・実験・実施・認証に適切な資源を配分し;サイバーセキュリティに関して組織のトップレベルまで途切れのない直接的なコミュニケーション・チャネルを確立する。
  • 自動車業界は進捗状況を自己監査するほか、新たなサイバーセキュリティ・プラクティスについて自動車業界の全従業員に社員教育を施す。
  • 自動車コンピューターシステムの安全確保に必要な根本的サイバーセキュリティ施策:
    • 電子制御装置(Electric Control Unit =ECU)へのアクセスを必要とする操作上の理由がしばらくの間発生しない場合、ソフトウェア開発者によるECUへのアクセスを制限、又は除外する。
    • 自動車の保守・診断機能が本来の目的以外に悪用されることがないよう、診断機能へのアクセスを制限する。
    • ファームウェアへのアクセスを制限するほか、電子署名技術等によってファームウェアを変更する能力を制限する。
    • 自動車のECUのネットワーク・サーバー利用を必要不可欠な機能だけに制限し、不要なネットワークサービスを排除する。
    • プロセッサー、自動車ネットワーク、及び、外部通信を切り離すため、倫理的・物理的分離技術を利用する。
    • 重大な安全メッセージ(safety message)は、セーフティ・クリティカルな自動車制御システムに直接又は間接的に影響を及ぼし得ることから、安全性シグナルをメッセージの形式でデータバスに送信することを可能な限り回避する。
    • サイバー攻撃や不正アクセスの本質を明らかにするイベント・ログを維持し、サイバー攻撃の傾向を検出するため、公認の保守要員が定期的にイベント・ログを精査する。
    • 自動車と外部サーバーのIPベース通信には、広く受け入れられている暗号化方式を利用する。
    • 必要な場合には、ワイヤレスネットワークと自動車の通信を制限する。

自動車業界がNHTSAの法的拘束力のない自発的アプローチを強く支持している一方で、この自発的アプローチでは不十分であるという批判の声もあがっている。草の根団体「imathecavalry.org」の創設者であるJosh Corman氏が、民間航空機のシステム点検や自動車のシートベルト・エアバッグ装備が義務付けられているように、自動車のサイバーセキュリティには最低限の基準を設ける規制が必要であると主張しているほか、Edward Markey上院議員(民主党、マサチューセッツ州)とRichard Blumenthal上院議員(民主党、コネチカット州)は、今日の自動車が車輪付きコンピューターであるならば、ハッカーに乗っ取られず、人命や情報が危険に晒されることがないことを保証する為には、自発的指針ではなく、強制的な基準が必要であるという声明を出している。

自動車のサイバーセキュリティや車車間通信(V2V)規制に関しては、NHTSAは、自動車のサイバーセキュリティに係る政府基準や規制の必要性を現在検討しており、V2V通信規制案を次期大統領の就任前に発表予定であるという。

(NHTSA Press Release 'Guidance covers cybersecurity best practices for all motor vehicles, individuals and organizations manufacturing and designing vehicle systems and software,' October 24, 2016; "Cybersecurity Best Practices for Modern Vehicles", October 24, 2016) 

 
注釈:

1: 同指針に対するパブリックコメントの受付けは30日間。


Top Page