車載セキュリティの要はゲートウェイ、デバイス内に仕込む多層防御の技術:自動車業界も重要性を認識
自動運転に向けた開発が進む中、クルマのハッキングに対する懸念は、自動車業界で年々高まっている。不正アクセスの防御で要とされているのがゲートウェイ・システムだ。NXP Semiconductorsは、セキュアマイコンを数十年にわたり手掛けている。そこで蓄積したノウハウを生かし、ゲートウェイ向けにセキュリティ機能を強化したマイコンのさらなる展開を図っている。
セキュリティへの懸念が一気に高まったジープハッキング
2015年、2人のホワイトハッカーによって、Fiat Chrysler Automobiles(FCA)の「Jeep Cherokee(ジープ・チェロキー)」がハッキングされ、自動車業界に大きな衝撃が走った。FCAはこれによりハッキング対策のために140万台のリコールに追い込まれている。
これ以降、自動車のセキュリティへの懸念は一気に高まった。特に自動運転の実現に向けて開発が加速している現在、車載システムのハッキングは人命が危機にさらされることを意味する。脅かされるのは人命だけではない。自動車そのものや、自動車メーカーのIP(Intellectual Property)など、ユーザーや自動車メーカーにとっての“資産”が盗難の対象になり得る。さらに、スマートフォンをクルマに接続している場合は、個人情報が流出する可能性もある。このような、安全性、資産、プライバシーを守るために、より高度なセキュリティ技術が求められるようになっている。
NXPジャパンの車載マイクロコントローラ製品統括部でテクニカルマーケティング担当マネージャを務める村田孝彦氏は、「現在、自動車メーカーとTier1サプライヤー、NXPのような車載用ICメーカーが一丸となって、悪意あるハッキングを防ぐべく取り組みを進めている」と述べる。
コネクテッドカーにおいてセキュリティホールとなりやすいポイントが4つある。まずは最もアンテナに近いテレマティクスの部分だ。2つ目が車載ネットワークのゲートウェイ。3つ目はゲートウェイから各ECU(電子制御ユニット)へとつながるバス上。4つ目がECUそのものだ。「クルマ全体として4つの関門を設けてセキュリティを強化する。これをNXPでは『マルチレイヤー車載セキュリティ・アーキテクチャ』と呼んでおり、セキュリティホールを防ぐ製品をそれぞれにリリースしている。また、4+1の『+1』としてクルマの鍵を守るセキュア・カーアクセスも前回紹介したように重要な分野であり多彩な製品を展開している」(村田氏)
ゲートウェイでの防御が肝に
NXPジャパン オートモーティブMCU アプリケーション技術部のシニア・フィールド・アプリケーション・エンジニアである小美濃知氏は、「クルマとして基幹となるシステムはパワートレイン、シャシーなどの部分だが、ここだけ守ればいいかというとそうではない。テレマティクスや、スマートフォンとのコネクティビティも含めた通信部分などにも脅威は存在する。これらの外界と接続される通信部分はハッカーの侵入経路となりうるが、ゲートウェイは基幹となるシステムへのアクセスをブロックする役割も担う。クルマのシステム全体として安全を確保するには、セキュリティホールに成り得る箇所を対象に、対策を何重にも設ける“デバイス内の多層防御”が必須になる」と述べる。
例えば、無線ネットワークでソフトウェアをアップデートするOTA(Over-the-Air)では、テレマティクス経由で受信したアップデート用のプログラム・データをゲートウェイに保存しておき、クルマが走行中に基幹となるシステムのソフトウェアの書き換えを行うケースもある。それは裏を返せば、不正なプログラムを書き込めるルートができてしまったということでもある。
さらに、コネクティビティや自動運転、電動化などが進むにつれ、多くの自動車メーカーが従来の機能分散型アーキテクチャに代わり、ドメイン集約型アーキテクチャの採用へと移行しつつある。
このようにOTAやドメイン集約型アーキテクチャの点から見ても、ゲートウェイでいかに不正アクセスなどを防御するかが極めて重要になっているのだ。
村田氏は、「われわれが提供する車載用マイコンの中でも、ゲートウェイ向けではセキュリティ機能が最も強いものを先行して搭載してきた経緯がある」と述べる。
セキュアゲートウェイ・マイコンでは長い歴史を持つNXP
NXPは、セキュアマイコンを約20年前から手掛けてきた。2009年ごろには、90nmプロセスを適用したセキュリティ機能付きの第1世代マイコン「MPC564xB/C」シリーズを既に提供し始めている。同シリーズは、CSE(Crypto Service Engine)モジュールを搭載している。CSEとは、SHE(Secure Hardware Extension) Specification(Version 1.1)*1)で規定されたセキュリティ機能を実装したモジュールで、マイコンの拡張機能となる。MPC564xB/Cシリーズは、EVITA LightやHIS-SHEのセキュリティ規格に対応している。
*1)欧州の主要な自動車メーカーが参画する団体であるHISが策定したセキュリティ規格
現行品となる、2012年以降に市場に投入した第2世代(55nmプロセス)「MPC574xB/C/G」シリーズは、既にOTAにも対応しており、広く採用されている。MPC574xB/C/Gシリーズは、独自のセキュリティ・アルゴリズムを実装できるプログラマブルなモジュール、HSM(Hardware Security Module)を搭載しており、EVITA LightとHIS-SHEに加え、EVITA Mediumにも対応した製品となっている。
NXPのセキュアゲートウェイ・マイコンは、CSEやHSMの搭載や、EVITA Mediumに対応しているといった特長はあるが、NXPがセキュリティ技術で貢献してきたところは、そうしたセキュリティ規格のサポートだけではない。チップの一部分だけにセキュリティのアルゴリズムが実装されていればいいというわけではない。それ以外に、デバイス内部で多層に防御する仕組みが必要になる。
多層防御の例としては、「デバッグポートの無効化」、「パスワード認証」、「プログラムの書き込み回数制限」の他、NXPの工場からTier1サプライヤー、自動車メーカーへと部品を出荷していく際に、段階的に重要なデータへのアクセス制限を管理する機能などがある。「このような、デバイス内部で多層に防御する仕組みは、当社が先行してリリースしてきた。そうした仕組みが少しずつ自動車業界に浸透していった」(小美濃氏)
ただし、「単に実績のあるセキュリティ技術を搭載したマイコンを使えば十分というものではない。そのマイコンをどう実装するかが、強固なセキュリティを実現するためには極めて重要になる」(同氏)
NXPは20年近く前から、市場や顧客からのフィードバックを基に、製品をさらにブラッシュアップするというサイクルを何度も繰り返すことで、セキュアゲートウェイ・マイコンに対するノウハウを蓄積してきた。例えばHIS-SHEの規格策定にも協力してきた実績もある。
現在NXPは第3世代となるゲートウェイ向けのセキュアマイコンを開発中だ。NXPは2017年10月に、車載システム向けのコンピューティング・アーキテクチャ「NXP S32車載プロセッシング・プラットフォーム」を発表しているが、第3世代は、このS32プラットフォーム・ベースの製品となる。
また、NXPはスマートカード技術においてセキュリティ技術をけん引してきた。「Secure Element(SE)」など、金融カードなど向けのセキュリティ技術を長年にわたり提供しており、セキュリティのコア技術は、同事業で蓄積してきた。そのノウハウを自動車分野にも応用していく。
今後、自動運転の実現に向けて、車載ネットワークやOTAにおけるセキュリティの強化はますます重要になる。村田氏は、「NXPは、約20年にわたるセキュアマイコンの経験と知識、そしてスマートカードで培ったSEの知見を生かし、セキュリティ機能をさらに強化したゲートウェイ向けマイクロコントローラ製品の提供を続けていく」と強調した。
Copyright © ITmedia, Inc. All Rights Reserved.
関連リンク
提供:NXPジャパン株式会社
アイティメディア営業企画/制作:EE Times Japan 編集部/掲載内容有効期限:2018年10月18日