インフォテインメントがブレーキを乗っ取る？ HPCのセキュリティ課題

車がコンピュータ化する時代

昔は、車の故障といえば、ベルトが緩むことや、燃料インジェクターが詰まるといったことでした。しかし現在ではどうでしょう？例えば、GPUの不正アクセスや感染したソフトウェアライブラリ、ADAS（先進運転支援システム）、インフォテインメント、さらにはブレーキまでを制御する高性能コンピュータ（HPC）内部のゼロデイ脆弱性といったことかもしれません。クルマは今や“走るデータセンター”という時代なのです。

そして、OEMやTier1サプライヤーのサイバーセキュリティ担当者にとっては、こうした話は例え話ではありません。日々の仕事の話になります。

ECUのカオスからHPCによる統合の時代へ

かつて車両は、シャーシ全体に分散配置された数十個の個別のECU（電子制御ユニット）で機能していました。それぞれに専門の機能が割り振られており、確かにシンプルではありましたが、現在必要とされているデータ量の多いセンサーを多用した機能を実現するには不向きです。

そこで、従来は個別に存在していた機能を統合し、堅牢で大容量のコンピューティングプラットフォームを利用することで、自動車メーカーは大きなイノベーションの可能性を切り開きました。たとえば、OTA（Over-the-Air）アップデート、リアルタイムのV2X通信、AIによる知覚技術などです。しかし、それには代償も伴います。攻撃対象領域が飛躍的に広がったのです。

現場での緊張感

• 混在する重要度がもたらす混乱
  いまやエンターテイメントと命に関わるシステムが、一つのHPC内で共存しています。
  ハイパーバイザーに設定ミスがあれば、アプリケーションが暴走したときに車線維持システムと同じメモリ空間を共有するかもしれません。
• 性能 vs. セキュリティ
  あらゆる暗号処理は、プロセッサの処理能力を消費します。速度を重視しすぎてセキュリティ対策を省略すると、システムは無防備になります。逆に厳密にセキュアにした場合、リアルタイム性能が犠牲になる恐れがあります。
• アラート疲れ
  現在のIDS（侵入検知システム）のセンサーは、高い頻度で、しかも大音量で警告を出します。誤検知が頻発するとセキュリティオペレーションセンター（SOC）のダッシュボードが機能せず、肝心の侵害に関してはそのノイズの中に潜み、見逃されてしまうことがあるのです。

ミスの代価

サイバーセキュリティは、単なるチェック項目ではありません。それは、事業継続戦略です。たった一度でも HPC システムが侵害されしまうと、次のような事態を招く恐れがあります。

• 大規模なリコール
• 訴訟
• 規制当局からの制裁
• ブランドイメージの永久的な損傷

今できること

1. セキュリティを初期から設計に組み込む

セキュリティ対策は、設計段階から始めなければなりません。統合後や量産開始の段階になってから脅威に対処しようとしても、必ずギャップが発生します。DevSecOpsはもはや選択肢ではなく、前提になっています。CI/CDパイプラインにセキュリティツールを統合し、すべてのコードやバイナリをスキャンしましょう。サードパーティのモジュールについても、徹底的に調べる必要があります。

2. ハードウェアセキュリティモジュール（HSM）の活用

信頼の起点（Root of Trust, RoT）がなければ、システムは根本的に無防備です。HSMは鍵管理や暗号ポリシーの強化、そしてセキュアブートの実現をすべてハードウェアレベルで担います。証明書管理や機密性の高いワークロードの抜き取りや改ざん防止にも、HSMは不可欠な存在です。

3. 適切な分離を行う

異なる重要度が混在する環境では、適切な分離が欠かせません。ハイパーバイザーは、各ドメイン間の空間的・時間的な分離を強化する必要があります。コンテナ化されたアプリケーションも、堅牢な名前空間ポリシーで厳密に隔離しなければなりません。これにより、インフォテインメントスタックの不具合がセーフティクリティカルなシステムへ波及するのを防ぐのです。

4. 未知の脅威に備える

静的解析や既知のバグスキャンだけでは不十分です。ファジングテストは、極端な値や予想外の入力に対する挙動を明らかにします。ペネトレーションテストは、実際の攻撃をシミュレーションします。こうした取り組みは一度きりではなく、継続的に行うべきものです。攻撃者に見つけられる前に弱点を見つけましょう。

5. IDSを強化する

従来型のIDS（侵入検知システム）は、ノイズを発生させます。今や、誤検知を減らすためにAIを活用したシステムが不可欠です。IdsM（IDSマネージャ）やIdsR（IDSレポーター）といったフレームワークは、車両全体のイベントを関連付け、コンテクストに基づくフィルタリングを行い、本当に対応が必要なインシデントだけをVSOCに送信します。ノイズが少なくなれば、運用はよりセキュアになります。

6. OTAアップデートの安全性を確保する

OTAインフラは、攻撃者にとって格好の標的です。すべてのアップデートに署名を行い、暗号化し、インストール時に必ず検証する必要があります。もしここに不備があれば、単にシステム停止だけでなく、車両全体が乗っ取られる可能性すらあります。ロールバックメカニズムも堅牢でなければならず、定期的なテストが必要です。

7. リリース時点だけではなく、長期的に考える

サイバーセキュリティは車両の出荷と同時に完了するものではありません。脅威の状況は常に変化します。長期的な保守を支えるアップデート機能を構築し、車両フリートを継続的に監視しましょう。脅威インテリジェンスのフィードバックループを活用し、運用期間を通じて常にパッチを適用し、監視を怠らない体制を整えることが重要です。

注目すべき理由

HPCシステムが複雑であるため、サイバーセキュリティは一つの担当チームが責任を負う仕事ではありません。ハードウェア、ソフトウェア、運用、すべてのチームにまたがる共有責任です。あなたがアーキテクチャを設計している人でも、組み込みコードを書いている人でも、SOCを運用している人でも、その仕事は車両の安全性に直結しています。

侵害されたECU、見落とされた脆弱性、設定ミスのあるIDSルールなど、すべて現実世界で深刻な影響を及ぼす恐れがあります。これには人命がかかっています。そして企業の評判や収益、規制による認可も同様にこの課題の影響を受けるのです。

今年発売された車両は、数十年先まで使われ続けるかもしれません。セキュリティも、それに合わせて進化し続けなければならないのです。中から外へと、レジリエンスを築き上げる機会と責任が、あなたにはあります。

OEMの立場でシステムプラットフォームを設計している人も、Tier1で組み込みコードを書いている人も、皆さんの役割は非常に重要です。守っているのは単なる半導体チップやソフトウェアスタックではありません。守っているのは人の命です。

この問題を軽視することはできません。いま生産ラインから送り出されている車両は、2040年になってもまだ使用されているでしょう。そのとき、この車両は安全でしょうか？

それは私たち次第です。