デロイト トーマツ サイバー 上原 茂が訊く サイバーセキュリティの視点から考える自動運転の未来【前編】

そうした状況で重要さを増すのが、自動運転システムを標的にしたサイバー攻撃に対する対策です。特に、今後活用が期待される人工知能（AI）を備えた大規模ソフトウェアが超高速大容量通信に支えられて機能することを考えれば、サイバーセキュリティ対策は不可欠と言っても過言ではありません。

「自動運転」と「コネクテッド」と「サイバーセキュリティ」はいわば三位一体。自動運転システムの社会実装が目前に迫る中、私たちはどのような課題に直面し、どのような対策に取り組めばよいのか。デロイト トーマツ サイバー合同会社シニアフェローの上原茂が、車両を含むサイバーフィジカルセキュリティ研究の専門家である横浜国立大学大学院環境情報研究院教授の松本勉氏と、トヨタ自動車株式会社で情報セキュリティ・トラスト部部長を務める古田 朋司氏のお二人をお招きし、お話を伺いました。

【登場者】

• 横浜国立大学 大学院 環境情報研究院 教授
  松本 勉　氏

横浜国立大学 大学院 環境情報研究院 社会環境と情報部門教授。2018年11月より産業技術総合研究所 サイバーフィジカルセキュリティ研究センター 研究センター長。工学博士。

• トヨタ自動車株式会社 情報セキュリティ・トラスト部 部長
  古田 朋司　氏

1987年に入社後、主にアプリケーションシステムの開発とグローバル導入に長年携わる。グローバルIT戦略企画やサイバーセキュリティ統括などにも従事し、現職。一般社団法人日本自動車工業会 総合政策委員会 ICT部会 サイバーセキュリティ分科会長も務める。

＜モデレーター＞

• デロイト トーマツ サイバー合同会社 シニアフェロー
  上原 茂

長年、国内大手自動車メーカーに勤務。国内OEMで電子制御システム、車両内LANなどの開発設計および実験評価業務に従事したほか、近年は一般社団法人 J-Auto-ISACの立ち上げや内閣府の戦略的イノベーション創造プログラム（SIP）adus Cybersecurityの研究リーダーを務めるなど、日本の自動車業界におけるサイバーセキュリティ情報共有の枠組みを構築。欧州駐在経験もあり、欧州自動車業界の動向などへの理解が深い。

(以下、敬称略)

自動運転の社会実装を安全・安心に進めるには

上原：最初に自動運転を取り巻く社会情勢について説明させてください。2023年8月、米カリフォルニア州サンフランシスコ市では、「完全自動運転タクシー」が24時間営業を認められました。一方、日本では2023年4月、経済産業省と国土交通省主導の自動走行ビジネス検討会で、「無人自動運転移動サービスを2025年度に50箇所、2027年度に100箇所で実現する」との発表がありました^*1。また、物流の担い手不足解消や物流効率の向上を目指して、「2025年度以降の高速道路におけるレベル4自動運転トラックの実現」と「2026年度以降の自動走行技術を用いた幹線輸送の実用化・社会実装」を目標にすることも公表されています^*2。さらに、2023年10月には日米の複数社が共同で、2026年初頭から自動運転によるタクシーサービスを提供すると発表しました。

こうした状況を見ると、日本では米国よりも3年から4年遅れて自動運転システムの社会実装が始まったという印象ですが、慎重を期すという日本人の国民性ならではと言えるかもしれません。

そこでお伺いしたいのは、自動運転に対する日本での捉え方です。すでに一部で社会実装が始まっている自動運転システムに対し、「機能面での安全・安心はもちろんだが、サイバーセキュリティ面での安全・安心も大丈夫なのか」と不安を抱いている方も多いと感じています。こうした受け止め方を、松本先生はどのようにご覧になっていますか。

松本：自動運転に対する信頼は、実績を積み重ねて獲得するものだと考えます。もちろん、最初は不安も感じるでしょうし、事故が起きてしまう可能性も否定できません。

ただし、一度（自動運転システムを）社会実装するとなれば、自動車業界はサプライチェーンのセキュリティも含め一丸となって取り組みますから、継続的に改善していくでしょう。実際、国連の自動車基準調和世界フォーラム（以下、WP29）でも、安全運転支援における技術の高度化に対応する国際基準改正などが議論され、法規も整備されています。

とはいえ、社会実装していくプロセスの中で、自動運転システムを狙った未知の攻撃が試みられる可能性は十分にあります。ですから、どんなにセキュリティ対策を講じても「本当に大丈夫なのか」という不安の声は上がると思います。しかし大局としては、改善を重ねることで「大丈夫です」と言えるようになると考えています。

松本 勉氏（横浜国立大学 大学院 環境情報研究院 教授）

上原：古田さんはシステム構築側の立場でいらっしゃいますが、いかがでしょうか。

古田：松本先生から「自動車業界は真剣に取り組んでいる」と言っていただき、うれしいかぎりです。

これまでも自動車業界は困難なことに挑戦し、それを克服してきました。私たち“クルマ屋”が続けてきたことは、常に「もっといいクルマ」を作りたいと、例えば事故を起こさないように改善を続けてきたことです。サイバーセキュリティに対してもその姿勢は揺らぎません。先生がご指摘されたように、攻撃者はさまざまな手法で攻撃を仕掛けてきますから、すべての攻撃に対して「100％大丈夫です」と言い切るのは難しいのが正直なところですが、お客様に不安を与えたり、危険が及んだりしないように、現在は業界を挙げて国際法規である「UN-R155」への対応などに取り組んでいます。

自動運転システムへの攻撃経路は2系統に大別される

上原：次に自動運転システムに対する攻撃の現状についてお伺いします。自動運転に必要な情報取得経路は「センサー系」と「コネクテッド系」に大別されます。センサー系では車間距離や周囲の障害物との距離を計測するLiDAR（Light Detection And Ranging）やカメラ、レーダー、ジャイロセンサー・加速度センサーなどが挙げられます。これらに対するサイバー攻撃にはどのようなものがあるのでしょうか。

松本：「センサーからさまざまな情報を得る」という場合の“情報”とは、自動車とそれを取り巻く環境との相対的な関係情報であり、時々刻々と変化します。人間が運転する場合はドライバーが周辺状況を把握し、自分の意思でハンドルやブレーキを操作しますよね。つまりドライバーが運転システムを制御しているのです。

自動運転システムはドライバーの代わりにロボットがその役割を果たすものです。ですからセンサーの役割は周辺情報を得ることです。LiDARをはじめとしたさまざまなセンサーが収集した情報は、「畳込みニューラルネットワーク（CNN）」や「リカレントニューラルネットワーク（RNN）」など、複数の機械学習モデルを使用して処理されています。

ただし、何らかの方法で意図的にセンサーに間違ったデータを与えると、自動運転システムが誤作動を起こす可能性があります。例えばLiDARはレーザー光を照射し、物体に当たって跳ね返ってくるまでの時間を計測して、その距離や方向を測定します。もし外部から別のレーザー光線を照射すると、LiDARは物体検出ができなくなり、正しいデータを取得できません。

実はサイバーフィジカルセキュリティ分野の研究者は、「どうしたらセンサーを騙せるか」ということを日々考えています。「こういうことが起こると困る」という新たな攻撃手法が蓄積されることで、それに対する防御方法も研究が進むのです。

上原：古田さんにお伺いしますが、コネクテッド系に対してはどのようなサイバー攻撃が想定されるのでしょうか。

古田：自動運転車のコネクテッドシステムはインターネットのサーバーシステムと同様ですから、攻撃手法も（サーバーシステムを狙ったものと）同じです。コネクテッドシステム特有のセキュリティ対策として考える必要があるのは、「ハッキングによるデータの改ざん」です。

自動運転車が装備するコネクテッドシステムと中央サーバーシステムの通信がハッキングされてデータが改ざんされると、自動運転システムが誤作動を起こす可能性があります。対策としてはコネクテッドシステムと中央サーバーシステム間の通信を暗号化したり、サーバーシステムのセキュリティ対策を徹底したりして、END to ENDで「トラストな通信」を実現することです。

古田 朋司氏（トヨタ自動車株式会社 情報セキュリティ・トラスト部 部長）

サイバー攻撃の検知と誤判定の削減

上原：なるほど。いろいろな攻撃が想定されますが、自動運転システムでもサイバーセキュリティの基本はITシステムと同じと言えますね。

次にセキュリティ対策のアプローチについて伺います。サイバー攻撃への対応で用いられるのが、米国国立標準研究所（National Institute of Standards and Technology:以下、NIST）の「サイバーセキュリティフレームワーク」です。同フレームワークではサイバー攻撃への「事前対応」と「事後対応」に係る機能として、以下の5つを掲げています。

• 特定（Identify）……リスクアセスメントなどで自社システムの状況を把握
• 防御（Protect）……攻撃を防御する仕組みの構築
• 検知（Detect）……可能な限り早い段階で攻撃を検知する仕組みの構築
• 対応（Respond）……被害を最小限でとどめるよう検知した攻撃の封じ込め・実施
• 回復（Recover）……原状復帰と再発防止

この1つ目の機能”Identify”と２つ目の”Protect”がしっかり対応できている前提で、３つ目の機能の”Detect”が有効に機能するわけですが、可能な限り早い段階で攻撃を検知し被害を最小限にとどめることができれば、ユーザーが抱く漠然とした不安を少しでも軽くできるのではないかと考えます。そこでこの安心感をもたらす重要な要素の”Detect”に着目してお話を進めたいと思います。現在では侵入検知システムのIDPS（Intrusion Detection and Prevention System）やエンドポイントセキュリティのEDR（Endpoint Detection and Response）などを導入し、脅威が検出された際にエンドユーザーをログオフしたり、侵害されたエンドポイントデバイスを強制的に無効化したりする対策が一般的になりつつあります。

さらに近年では機械学習や深層学習を活用したEDRも登場し、検知ツールは目覚ましく進化している印象を受けます。そこで質問なのですが、こうした技術進化はセンサー系やコネクテッド系への攻撃に対して強力な武器となり得るでしょうか。

松本：ネットワーク上を流れるデータの動向やトラフィックの監視、プロセッサの異常を検知する技術は蓄積されています。ですから「進化し続ける防御ツールは、サイバー攻撃に対する強力な武器となり得る」と言ってよいと思います。

ただし「センサーで収集したデータを処理し、正しい制御に結びつける」という流れを考えた場合、フィジカルデータに対する信憑性を正確に判断できる仕掛けは、現時点では十分ではありません。フィジカルデータを測定・収集・伝送する「システムの安全性」と、セキュリティを確保するという「計測セキュリティ」の領域の研究・評価はまだまだこれからです。その1つが「検知精度の向上と誤判断の削減」です。不正なアクセスや要求・通信を迅速に検知して拒否することは重要です。ただし、検知精度が低ければ誤判定をしてしまう可能性もあります。この領域は今後の課題です。

もう1つ、コストの課題があります。自動車は多くの人が購入する“機械”ですから青天井にコストをかけ、フル装備のセキュリティ機能を実装することは現実的ではありません。しかし攻撃の可能性があるという脅威に対しては、実際の攻撃の有無に関わらず、ある程度の被害を想定して対策を講じる必要があります。そのコストをどこまでユーザーに転嫁するのか。産業として難しい判断だと思います。

上原：最新技術を活用して防御に活かすことは有用ですが、それ以前に「どこから・どのような攻撃があるのか」を把握しなければなりません。サイバーセキュリティの世界は、攻撃者が圧倒的に有利と言えます。防御する側はあらゆる攻撃を想定し、対策をしなければなりませんが、攻撃側は手を替え品を替え攻撃し、どこか1点でも突破すればよいのですから。

古田：もう1つ、攻撃の現状をお話しすると、自動運転システムを狙った攻撃は、ITシステムを狙った攻撃と比較して圧倒的に少ないのです。複数の有名なセキュリティカンファレンスで自動運転システムに対する攻撃可能性やデモンストレーションが示されたことはありますが、事故につながるような攻撃は発生していません。そうした「特定の条件下であれば攻撃が成功する可能性はある」というレベルのリスクを事前に検知し、対策を講じるのは非常に困難です。

先ほど松本先生が今後の課題として「検知精度の向上と誤判定の削減」を挙げられました。私たちもまさに、その部分を取り組んでいます。自動運転システムに限らず、全ての車両システムは（車両内で）さまざまな通信をし、データをやり取りしています。例えばGPS機能を使用したナビゲーションシステムもその一例です。また、お客様が車両をカスタマイズされたり、サードパーティ製のデバイスを接続されたりする可能性もありますから、千差万別の通信があります。その中から「どの通信がサイバー攻撃か」を見極めることは難しいのです。

上原：いわゆる“雑多な通信データ”から、いかにして“サイバー攻撃の兆候を示す怪しいデータ”をフィルタリングするか、これは重要なノウハウになりますよね。その部分をAIが補助するのではないかと期待しています。

古田：近年のITシステムに対するサイバー攻撃手法を見ると、最初に検知の仕組みを無効化してから攻撃する「検知回避攻撃（Detection Evasion Attack）」が主流になっています。同攻撃の特徴は、長期間にわたってシステム内に潜伏し、持続的に機密情報や知的財産を盗取する点です。ですから、攻撃に気付いた時には、すでにかなりのダメージを受けています。おそらく自動運転システムにも、そうした攻撃が起こることも予測されます。

上原：攻撃者の手の内を分析し、どのような攻撃を仕掛けてくるかを把握することが重要ですね。松本先生は自動運転システムに対する攻撃を調査するアプローチの1つとして「Vehicular Honeypot（ヴィーキュラ ハニーポット）」の研究をされていらっしゃいますよね。

松本：はい。ハニーポットとは、攻撃を受けやすいように設定した機器を“おとり”としてネットワーク上に公開し、攻撃者を誘引してその行動を観察するアプローチです。私たちの研究では「攻撃者側から車載ネットワークシステムに見える機器を用意し、どのくらいの頻度でアクセスがあるのか」を調査しています。

攻撃者の中には、自動運転システムだろうがITシステムだろうが手当たり次第攻撃を仕掛けてくる輩がいます。そうした攻撃を観察して分かったことは、「攻撃を受けやすい機器は攻撃される」ということです。「攻撃されやすい機器を搭載している車両に対し、具体的にどのような攻撃が来ているのか」という調査までは実施できていませんが、私たちがいろいろなクラウド上にVehicular Honeypotを設置して観測をしたところ、日本は意外とセキュアな環境を構築できていることが分かりました。

上原：そうした研究を自動車会社の設計部門と共同で実施すれば、より実車レベルに近いリアルな環境での調査ができますね。

松本：そうですね。本物の車載ネットワークシステムにハニーポットを仕込んで調査することで、研究もさらに進む可能性があると考えています。

【後編に続く】

上原 茂（デロイト トーマツ サイバー合同会社 シニアフェロー）

*1：「今後の取り組み方針（令和４年度 第１回 自動運転車を用いた自動車運送事業における輸送の安全確保等に関する検討会）」（国土交通省）

*2；「自動運転の実現に向けた動向について（令和４年度 第１回 自動運転車を用いた自動車運送事業における輸送の安全確保等に関する検討会）」（国土交通省）