デロイト トーマツ サイバー 上原 茂が訊く Vol.13 SDV時代の到来:ビークルOSの進化とサイバーセキュリティの新たな課題【後編】
どうする、プラットフォーム戦略とセキュリティ対策の両立
【登場者】
イーソル株式会社 代表取締役社長CEO 兼CTO
権藤 正樹 氏
1996年にイーソル入社。以来自社OS及びツール関連の開発、それらを用いた車載、産業機器、家電機器などの各種カスタムプラットフォーム開発に取組む。
近年はシングルコアからメニーコアまで対応したOSであるeMCOS、ドメイン知見と機械学習を組合せたドライバモデル eBRAD、AUTOSAR Adaptive Platform仕様策定アーキテクト、マルチコア向けアーキテクチャ記述仕様IEEE Std. 2804 SHIMのWG Chair、社内の開発プロセス含む技術インフラ、プロダクトマネージメントを推進、2022年に専務ソフトウェア事業部長、2025年より現職。
組込みマルチコアコンソーシアム副会長、IEC TC91/WG13メンバ、早稲田大学アドバンスドマルチコアプロセッサ研究所招聘研究員、COOLChips TPC。
一般社団法人WSN-ATEC 理事長
田丸 喜一郎 氏
1981年慶應義塾大学工学研究科博士課程修了。工学博士。株式会社東芝を経て、独立行政法人情報処理推進機構(IPA)に従事。一般社団法人ディペンダビリティ技術推進協会副理事長、一般社団法人人間中心社会共創機構副理事長、一般社団法人重要生活機器連携セキュリティ協議会フェロー、九州工業大学客員教授などを務める。
<モデレーター>
デロイト トーマツ サイバー合同会社 シニアフェロー
上原 茂
長年、国内大手自動車メーカーに勤務。電子制御システム、車両内LANなどの開発設計および実験評価業務に従事。近年は一般社団法人 J-Auto-ISACの立ち上げや内閣府の戦略的イノベーション創造プログラム(SIP)adus Cybersecurityの研究リーダーを務めるなど、日本の自動車業界におけるサイバーセキュリティ情報共有の枠組みを構築。
欧州駐在経験もあり、欧州自動車業界の動向などへの理解が深い。
(以下、敬称略)
収斂か乱立か――ビークルOS戦略が描く自動車産業の未来図
上原:最初にグローバルな視点でビークルOSの開発動向を整理します。トヨタ自動車(以下、トヨタ)は「Arene」という独自のビークルOSを開発中であり、カーネルからディストリビューションまでの、API(Application Programming Interface)以外の全要素を自社でカバーしているとの情報があります。また、AreneはLinuxをベースにしたOSであり、日本における車載ソフトウェアの標準化を進めるJasParによって仕様策定活動が始まった業界標準APIがLinuxベースで進められるとのことにより、トヨタとトヨタグループのサプライヤにとっては有利な展開でしょう。
個人的見解ですが、トヨタと技術提携、業務提携、資本提携など何らかの関係を持つ中堅メーカーはトヨタに依存する形でAreneを活用し、多大なリソーセス(ヒト、モノ、カネ、時間)を要するビークルOS対応を生き抜くと予想しています。
一方で、ホンダはVxWorks(Linux系ではない組込み向けリアルタイムOS)をベースとした「ASIMO OS」を開発しています。言うなれば、ホンダ単独路線を歩むという判断かと思われます。日産・三菱連合の動向については、現時点で戦略が明確ではありません。
田丸さんに伺いますが、各OEMや大手サプライヤはこうしたビークルOS戦略をどのように考えていると思われますか?
田丸:現時点で明確な戦略を描いているのかどうかはわかりません。ただし、描けていなかったとしても、それが大きな問題にはならないと考えます。今は各社がプロトタイプを作って調査している段階です。スマートフォンOSを思い出してください。過渡期には複数のOSが存在しましたが、現在はiOSとAndroidが市場の大部分を占めています。サーバOSの世界も同様で、基本的にはWindows系と広義のUNIX系のみす。ビークルOSも同じ道をたどり淘汰され、いずれは少数のOSに収斂されるのではないでしょうか。
上原:実際、世界の複数の大手OEMがLinuxベースへと向かいつつあります。将来的には、主要なLinux系OSが業界を主導する構図になるように予想しますが、権藤さんはどのようにお考えでしょうか。
権藤:現場の技術的事情はもう少し複雑です。例えば、既に市場を走っている先進運転支援システムの「ADAS(Advanced Driver Assistance Systems)」などはLinuxではありません。異なるUNIX系OS間での互換性を確保する標準規格 IEEE1003「POSIX(Portable Operating System Interface)」はUNIX系OSにおけるAPIの統一化を目的に策定されました。しかし、現在ではUNIX系以外のRTOSでも利用できます。各社が安全性や信頼性を重視し、用途ごとに最適なOSを選択しています。
田丸:権藤さんのおっしゃる技術的複雑さはその通りです。その上で、より大きな産業構造の観点から見ると、スマートフォンの例が参考になります。スマートフォンを見ると、ハードウェアとOSの両方を独自開発しているのは一社だけです。他のハードウェアメーカーは外部から調達したOSを搭載しています。同様に自動車業界でも、一部の大手が自社開発し、他社は外部調達に頼る構図になるでしょう。
上原:サプライチェーン軸で見れば、さしあたってはトヨタグループを中心とする日本勢、GMを中心とした米国勢、VW+ボッシュ/ETASを中心とする欧州勢、そしてファーウェイを中心とする中国勢の4つのグループに収斂され、さらに将来は2つか、多くても3つぐらいに収斂が進むかもしれませんね。現時点で今後の動向が不明なステランティスや日産等の選択が注目されるところです。
田丸:ビークルOSが乱立すると、困るのはアプリケーション開発ベンダーです。それぞれのOSに対応するアプリケーションを提供するには、手間もコストもかかります。そうなるとシェアの大きいOSを優先して提供するようになりますから、シェアの小さいOSを搭載した自動車は使えるアプリケーションが少なくなります。結果としてシェアの小さいベンダーはエコシステムから取り残され、競争力を失うリスクがあります。
一般社団法人WSN-ATEC 理事長 田丸 喜一郎 氏
国際標準と独自路線の狭間で揺れる日本自動車産業
上原:確かに最終的には技術互換性とエコシステム形成が競争力を左右するでしょう。収斂の鍵となるのは、アプリが開発しやすく、多種多様なアプリが多く搭載でき、より多くのOEMに採用されるOSというところでしょう。
権藤:その観点から見れば、日本の自動車メーカーは優位な立場にあると言えます。世界の自動車生産9,000万台のうち、日本メーカーは合計で3,000万台を占めています。これは世界トップクラスのシェアです。アジア、北米、欧州といった主要市場を見た時、一国がこれだけの台数を生産しているのは注目に値します。しかも日本は政治的・社会的にも安定している。このスケールと安定性は国際競争において優位性をもたらします。
田丸:日本の全自動車メーカーが一つのビークルOS(プラットフォーム)に統合できれば、世界シェアの約3分の1を占めることになります。これはアプリケーション開発者にとって非常に魅力的な市場となるでしょう。
しかし台数ベースで見ると、自動車市場はスマートフォン市場に比べて規模が小さいのも事実です。自動車の年間生産はグローバルで約9,000万台であり、保有台数も15億台ほどです。一方、スマートフォンは年間約14億台が製造され、保有台数は数十億台に達しています。開発者視点では、複数OSが並立する小規模市場はリスクが高く、統合は戦略的に不可欠です。
上原:この生産規模がOS主導権にも直結するでしょう。中国と日本、そして欧米のグループがそれぞれの勢力を形成する構図が見えてきますね。
権藤:現在は複数のOSが存在する過渡期ですが、最終的には収斂していくでしょう。その過程では、独占禁止法などの規制に配慮しながら合法的に進める必要があります。そのためには、業界標準化やオープンスタンダードの策定が重要な役割を果たすと考えています。
私は長年、AUTOSAR(自動車向けソフトウェアアーキテクチャの標準規格)に関わってきました。AUTOSARの特長は、競合企業が多く参加しながらも、独占禁止法に抵触しない法的フレームワークを構築している点です。さらに、IATF(International Automotive Task Force)やISO(国際標準化機構)といった国際規格とも連携して取り組んでいます。
このような国際的な標準化フレームワークの構築は簡単ではありません。例えば中国は、これまで国内市場に焦点を当ててきましたが、成長の限界を認識し、今後はグローバル市場への展開を視野に入れています。そのため、さまざまな分野に投資し、国際展開の準備を進めています。国際市場で成功するためには、国際的なルールや標準に従う必要があります。中国もこの点を理解しており、AUTOSARなどの国際標準化活動に積極的に参加し、実際に量産でも活発に適用しています。
一方、北米市場については独自の課題があります。米国の自動車産業では従来から垂直統合型のビジネスモデルが見られ、オープンスタンダードよりも自社技術の優位性を重視する傾向があります。このような文化的背景が、国際標準化への取り組み方にも影響しています。
上原:なるほど。自社の優位性と国際ルールとのバランスをどう取るかは、もはや自動車業界だけの問題ではありませんね。
権藤:実は日本もこの点では得意とは言えません。「オープン・クローズ戦略」のバランスを適切に実践できていないのです。オープン化による普及と、自社競争力の確保を両立するスキルが必要です。そうでなければ、国際競争における存在感を失いかねません。
上原:それが「ガラパゴス化」につながる危険性です。JAMA(日本自動車工業会)やJasParが内向きに終わらないためにも、日本の業界団体の国際連携と開かれた戦略が求められますね。
イーソル株式会社 代表取締役社長CEO 兼CTO 権藤 正樹 氏
ITベンダーへの依存リスクと技術協創の可能性
上原:業界標準化の取り組みが進めば、自動車業界の構造自体も変化していくと考えます。田丸さんはどのようにご覧になっていますか。
田丸:自動車業界は急速に水平分業化が進んでいます。従来の垂直統合型モデルから、機能ごとに専門化した水平分業型モデルへと移行しつつあります。最も基礎的なレイヤーは、品質管理と製造を担当する工場機能があります。その上に車内の制御システムの開発を担当するレイヤーがあり、さらに上位では機能ごとに特化したIT活用企画チームや戦略検討組織が配置される構造になっています。例えば、UI(User Interface)やコネクテッド機能といった領域は、独立したチームが担当するようになってきています。
権藤:ただし、水平分業化で自動車メーカーが注意しなければいけないのは、ITベンダーとの付き合い方です。例えば、UIやコネクテッドの部分はITベンダーの力を借りることになります。しかし、Google(Alphabet)やMicrosoftのような企業はソフトウェア開発の専門知識は持っていますが、自動車の本質的な価値や安全要件の厳しさを十分に理解しているとは言えません。そもそも、ビジネスの目的は何なのかを踏まえることが重要です。
自動車メーカーがITベンダーに対して過度に依存すると、彼らのビジネスモデルに沿った方向へ“誘導”される可能性があります。例えば「全てのデータをクラウド上で一元的に管理する」といった提案があったとしても、それが本当に機能するか。特にビークルOSはスマートフォンやパソコンのOSよりもはるかに厳しい安全要件を満たす必要があります。「OSがフリーズしたから自動車が急停止した」では命が危ないのです。ITベンダーがそうした責任と覚悟を持ってソフトウェアを開発できるのか、その技術的バックグラウンド、ビジネスデザインを踏まえて考える必要があります。
上原:OEMにとって重要なのは、単純に「餅は餅屋に」ではなく、安全・安心の確保にむけ、どの部分を自社で開発し、どの部分を外部に開発委託するかという判断ですね。
権藤:はい。特に基盤となる重要部分は自社で開発する経験が不可欠です。もちろん、全てを100%自社開発する必要はありませんが、基本的な技術は自分たちの手で作ることで初めて真の理解が得られます。日本のものづくりの基本概念である「現地現物」の精神は、ソフトウェア開発においても重要なのです。
デロイト トーマツ サイバー合同会社 シニアフェロー 上原 茂
スマートフォン発展史から学ぶセキュアなプラットフォーム設計
上原:最後にSDV(Software Defined Vehicle)のサイバーセキュリティ課題について伺います。SDVへの移行に伴い、従来とは異なるセキュリティリスクが顕在化しています。特に注目すべきは、OTA(Over The Air)アップデートを通じて多様なアプリケーションが車両にインストールできる状況です。ドライバーがさまざまなアプリケーションを導入することで、それらの相互作用により、個別のセキュリティ検証では発見できない脆弱性が生じる可能性があります。こうした複合的なリスクに対して、どのような対策が考えられるでしょうか。
田丸:この問題はスマートフォンエコシステムの発展過程を見ると問題の本質が理解できます。アプリケーションの配布とインストールを無制限に許可した場合、セキュリティ管理が著しく困難になることが実証されています。SDVにおいても同様の課題が生じるでしょう。
プラットフォームとしての整合性と安全性を確保するためには、利用可能なアプリケーションの範囲と性質に一定の制限を設けることが不可欠です。
権藤:特にAndroidとiOSの対照的なアプローチは参考になります。初期のAndroidはAPIへのアクセスをほとんど制限せず、デバイスの機能に広範なアクセスを許可していました。その結果、アプリケーション数は飛躍的に増加しましたが、同時にプラットフォームの脆弱性も顕著でした。
対照的に、iOSはシステムの根幹部分へのアクセスを厳密に制御し、App Storeを通じた厳格な審査メカニズムを実装していました。この結果、アプリケーション数では制限がありましたが、アプリケーションの安定性や、セキュリティレベルは相対的に高く、重大なインシデントの発生頻度も抑制されました。
上原:SDVもセキュリティの設計原則として、iOSモデルに類似したアプローチが適切かもしれません。具体的には、OEMによって認証を受けたアプリケーションだけがインストール可能となる仕組みと、インストールと同時にSBOM(Software Bill of Materials)へ自動記載する仕組みと、そのインストールしたソフトウェアと既に稼働中のソフトウェアとの静的、動的依存関係を体系的に管理することが重要でしょう。さらにSBOMをヒトが読むのではなく、自動読み取り可能とし活用を容易にすることも非常に重要だと考えます。
田丸:SBOMによる透明性確保は基礎的な要件ですが、それだけでは十分とは言えません。重要なのは、リスク検出時の即時対応能力です。特定のアプリケーションが潜在的なリスクを示した場合、それを速やかに分離または無効化し、システム全体への影響を最小限に抑える機能が必要です。これは動的なセキュリティ管理の観点から不可欠です。
権藤:本質的には、プラットフォームとしての車両がアプリケーションに対して適切な制限を課す能力が重要です。未知のアプリケーションを事前に完全に検証することは原理的に不可能ですから、サンドボックスなどの分離技術も必要でしょう。
具体的なセキュリティアーキテクチャとしては、適切に設計されたAPI公開範囲の定義、厳密なアイデンティティとアクセス管理、サンドボックスによるアプリケーション動作の制限の三要素を実装する必要があります。これにより「このアプリケーションは技術的・原理的にこれらの操作のみが可能」という保証を提供できます。これが現実的なセキュリティアプローチであり、社会的受容の基盤となるのではないでしょうか。
上原:その考え方は自動車安全性確保の伝統的枠組みである車検制度と類似性があります。
車検の義務付けと公的機関などによる管理がクルマの物理的な安全性を担保するように、アプリケーション認証制度はソフトウェアによる安全性を担保します。重要なのは、OEMやサプライヤが技術的に保証できる範囲とその限界を明確に定義することでしょう。
田丸:確かに一定の制約を課すことになりますが、安全性確保の観点からは必要不可欠です。明確なルールや境界のない状態よりも、適切に設計された枠組みの中での保護されたエコシステムのほうが、ユーザーと開発者双方にとって有益です。適切に定義された制約こそが、持続可能なイノベーションの基盤となります。
権藤:最終的には、これは社会システム設計の本質的な課題と同質です。社会における法体系が個人の権利と公共の安全のバランスを取るように、SDVエコシステムも適切な制約とイノベーションの余地を両立させる必要があります。車両プラットフォームとしての安全性と整合性を確保した上で、その枠組みの中で多様なアプリケーションが展開される。このようなバランスの取れたエコシステム構築こそが、SDV時代のサイバーセキュリティの本質的な課題だと考えます。
上原:本日の議論を通じて、適切な制約の中で “多くの関係者にとって使い勝手がよく、サイバーセキュリティを含めた安全・安心が、組織的かつ包括的に管理される車両プラットフォームの構築”が市場を制する。つまり、「国際競争力が維持でき、このSDV時代に生き残れる」ということが見えてきました。
これは個別企業の取り組みを超えて、監督官庁、公的機関、JAMAやJasPar、J-Auto-ISAC等の業界団体の協調的なガバナンス体制の構築とその確実な実施が不可欠であることを強く示唆しています。本日は貴重なお話をありがとうございました。
