32 自動車部品メーカとしてのセーフティセキュリティの活動 … · 株式会社デンソー電子基盤システム開発部 ... クルマへの攻撃事例より、これまでのセーフティに加えて、

/ 32

DENSO CORPORATION All rights reserved.

This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.

Confidential

©

Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.

株式会社デンソー

電子基盤システム開発部

セーフティ・セキュリティ技術開発室

室長早川浩史

Mar. 7, 2016

自動車部品メーカとしての

セーフティ&セキュリティの活動紹介

/ 32



Confidential

©


お伝えしたいこと

クルマを取り巻く環境変化

サービスの進展（コネクテッド、自動運転）と

クルマへの攻撃事例より、これまでのセーフティに加えて、

セキュリティ強化が急務な状況である

弊社の活動方針

会社の仕組み・基盤の継続的な強化の元で、安心・安全な製品を開発する

【仕組み】会社の構えを作り、PDCAを継続（例）CSO, 規定、監査体制、SIRT, ISAC連携

【プロセス】製品の全ライフサイクル・サプライチェーンを踏まえて、既存プロセスを強化

【プロダクト】クルマの保護資産に適切な多層防御

製品開発の考え方

セキュリティレベルと効率化の両立のために、プラットフォームベース開発をする

プロセスに基づき対象システムを分析・要件定義し、対策・評価はプラットフォームから選択する

– プラットフォームの対象例：E/Eアーキテクチャ、通信、プリント基板、マイコン、ソフト

1

CSO: Chief Security Officer

SIRT: Security Incident Response Team

ISAC: Information Sharing and Analysis Centers

製品開発製品部署で

要件・設計・テスト

仕組み基本方針、規定、情報管理、

アセスメント・監査、緊急対応体制、人材育成

基盤プロセス、プロダクト（プラットフォーム）

/ 32



Confidential

©


目次

1. クルマをめぐるセキュリティの状況

2. デンソーのセキュリティコンセプト

3. デンソーの活動内容

4. まとめ

2

/ 32



Confidential

©


Distance Control

クルマの将来像 - Mobility Society Image

Anyone, Anytime, Anywhere : enjoy various services through network without any stress

ユビキタス社会

スマートグリッド ICTサービスの浸透

社会インフラ連携自動運転

POI

Map

Route Calculation

…

Cloud

常時接続

ブロードバンド通信網 BATT

BATT

Monitoringsmart meter

BATT

BATT

Monitoringsmart meter

Smart Phone

Cellphone

Network Wi-Fi

V2I

V2V DSRC

Generation

Generation Transmission

PLC or Radio

Multi-modal Mobility

Transit Fee

Car Sharing

Park & Ride Crash Avoidance

Pedestrian Detection

Charging Station

Expected

Travel Distance

Operation &

Management

Center

Management

V2V: Vehicle to Vehicle communication

V2I: Vehicle to Infrastructure comm.

DSRC: Dedicated Short-Range Comm. PLC: Power Line Communication

Control Center

クルマはIoTの一部、社会インフラとのつながりによる新しいモビリティ社会に

3

/ 32



Confidential

©


クルマにおける脅威の状況

2012- 様々な攻撃事例報告

2011 リモートHacking

2010 車載LANのHacking

OBD,LAN経由で制御

ドイツ自動車協会

（ADAC）

source: Wired.com

EscarEU

「Comprehensive Experimental

Analyses of Automotive Attack Surfaces」

初期のテレマで実施

source: http://www.ipa.go.jp/files/000005475.pdf

「Experimental Security Analysis of a Modern Automobile」 source: http://www.ipa.go.jp/files/000005475.pdf

4

/ 32



Confidential

©


［参考］Jeepリコール

Jeepへの攻撃

車外からの遠隔攻撃により、走行中にワイパー動作やエンジンが停止した

攻撃シナリオ（仮説） ※北米セキュリティカンファレンスで発表

① 遠隔から通信機経由で対象車両に接続する

② 攻撃者がECUの管理者権限を取得

③ ECUのプログラムを改ざんする

④ 不正CANコマンドを対象ECUに送信する source: Wired.com @Jul. 2015

走曲止

管理者

権限 CAN

プログラム ECU ECU

プログラム

改ざん

携帯網

攻撃者

ボデー系

①

②

③ ④

攻撃対象ECU

インターネット

CAN経由で

不正コマンド送信

通信機

5

攻撃者：クルマを購入・解析後、周辺機器への制御コマンド送付に成功した

/ 32



Confidential

©


標準化動向

地域毎に標準化活動が徐々に進んでいる

TSL: Transport Layer Security AES: Advanced Encryption Standard SHA: Secure Hash Algorithm TCG: Trusted Computing Group

V2G: Vehicle-to-Grid VSG: Vehicle Station Gateway SHE: Secure Hardware Extension HSM: Hardware Security Module 6

2011 2012 2013 2014

TEVEES18 (Motor Vehicle Council, Electrical Systems Group)

(on-board secure comm. Security WP)

ISO 15118 PT5 (V2G)

Study group of embedded security in car

for Automotive

Process Product

HSM

Guide

Expected by DENSO

2015

ISO 13185(VSG)

Europe

JAPAN

USA

Standard

J3061

Thin Spec

2000 2005 2010

ISO/IEC 15408

ISO 27002

FIPS 140-2

TSL

AES、SHA-2

TCG

SAE: Society of Automotive Engineers TCG: Trusted Computing Group ACES: Automotive Consortium for Embedded Security

SHE

(700MHz band) Guideline (RC-009)

Information security committee JASO Technical Paper

Automotive Industry

IPA: Information-technology Promotion Agency JSAE: Society of Automotive Engineers in Japan JAMA: Japan Automotive Manufactures Association JASPAR: Japan Automotive Software Platform and Architecture JASO: Japanese Automotive Standards Organization SIP: Cross-ministerial Strategic Innovation Promotion Program

2016 2020 2018

IT Industry

Guideline WP29

/ 32



Confidential

©


北米動向 TEVEES18* 7

車向けセキュリティ開発プロセスのガイドライン（SAE J3061）がリリースされた@16年1月

コンセプトフェーズ製品開発

Source: https://interact.gsa.gov/sites/default/files/J3061%20JP%20presentation.pdf

システムレベル

HWレベル SWレベル

* SAE Motor Vehicle Council, Electrical Systems Group

https://interact.gsa.gov/sites/default/files/J3061 JP presentation.pdf

/ 32



Confidential

©


目次



1. 対象定義

2. クルマへの想定攻撃

3. 対策方針


4. まとめ

8

/ 32



Confidential

©


課題赤字：IT業界との違い

クルマのセキュリティの課題 V2V: Vehicle-to-Vehicle V2I: Vehicle-to-Infrastructure EVSE: Electric Vehicle Service Equipment DCM: Data Communication Module

LTE: Long Term Evolution BT: Bluetooth ITS: Intelligent Transport Systems PLC: Power Line Communication GW: Gateway

攻撃の進化攻撃者の動機の多様化セーフティ（人命）への影響

セキュリティ技術の進化脆弱性対策セーフティとセキュリティ

①保護対象資産が多岐にわたる（人命、プライバシ、財産）

②脅威とセキュリティコントロールとの適正なバランス

※長期間（例：15年以上）、低コスト・低リソース、高い性能要求

モビリティ社会@2020年

Smart Phone

車々･路車間通信 V2V

専用線 diagnosis

専用線 EVSE

車

・・・

・・・

・・・

パワトレ

シャシ

ボデー

ECU02

ECU21 ECU22

ECU11 ECU12

ITS

ECU01

車載GW

BT Wi-Fi

車内ＧＷ

車外ＧＷ

DCM

PLC

Data Center

Cloud

Bluetooth Wi-Fi

制御系

情報系

不正機器

取付け

人命

プライバシ

財産※

不正機器

取付け・改造・

事前解析

※ 課金、知的財産、車両盗難

保護対象資産脅威

V2I

専用無線

（LTE）

盗聴・改ざん

なりすまし等

9

/ 32



Confidential

©


セキュリティ対応方針

クルマの特徴

情報系

変化の早い外との接続が必要

お客様のニーズから製品周期も短い

制御系

人命に関わる事故に至る可能性あり

既存対策（品質・安全）もある

Smart Phone


専用線 diagnosis

専用線 EVSE

車

・・・

・・・

・・・

パワトレ

シャシ

ボデー

ECU02

ECU21 ECU22

ECU11 ECU12

ITS

ECU01

車載GW

BT Wi-Fi

車内ＧＷ

車外ＧＷ

DCM

PLC

Data Center

Cloud

Bluetooth Wi-Fi

制御系

情報系

V2I

専用無線

（LTE）

ナビ

セキュリティ

既存対策

（クルマの強み）

IT技術ベース

品質

セーフティ

情報系制御系

• 情報と制御のアーキテクチャレベルの分離 • 品質・セーフティ機能の脆弱性の低減

セキュリティの考え方

情報系

IT標準技術を流用する

制御系

既存の車業界の考え方をベースに

不足分はIT標準技術を流用する

10

/ 32



Confidential

©


Secure Logging

Anomaly Detection

セキュリティコンセプト

Vehicle

攻撃者

Outside

考え方：保護資産毎に最適な既存資産を活用して多層防御する

人命

プライバシ

財産

Exte

rnal F

irew

all

Exte

rna

l Tra

nsa

ctio

n D

efe

nse

Exte

rnal E

CU

Defe

nse

IT技術の車載適用 In

tern

al G

W D

efe

nse

Inte

rnal T

ransactio

n D

efe

nse

Inte

rna

l Fire

wa

ll

Inte

rnal E

CU

Defe

nse

IT技術の車載改良

De

fen

se fo

r Safe

ty

Syste

m S

afe

ty

既存セーフティの強化

財産（車両盗難）

• 財産、プライバシ： IT技術をベースに防御する

• 人命（セーフティ）：さらなるセーフティ強化とIT技術の融合で防御する

11

/ 32



Confidential

©


目次




1. 活動概要

2. プロセス基盤

3. プロダクト基盤

4. まとめ

12

/ 32



Confidential

©


モビリティ社会@2020年

Smart Phone


専用線 diagnosis

専用線 EVSE

車

・・・

・・・

・・・

パワトレ

シャシ

ボデー

ECU02

ECU21 ECU22

ECU11 ECU12

ITS

ECU01

車載GW

BT Wi-Fi

車内ＧＷ

車外ＧＷ

DCM

PLC

Data Center

Cloud

Bluetooth Wi-Fi

制御系

情報系

人命

プライバシ

財産 V2I

専用無線

（LTE）

セキュリティ活動概要

目的：適正なセキュリティ製品をお客様にご提供し続けている

活動：モビリティ社会2020年を目指してセキュリティ共通基盤を開発し

製品試行により現場で使えるレベルにする

課題：

V2V: Vehicle-to-Vehicle V2I: Vehicle-to-Infrastructure EVSE: Electric Vehicle Service Equipment DCM: Data Communication Module LTE: Long Term Evolution BT: Bluetooth ITS: Intelligent Transport Systems PLC: Power Line Communication GW: Gateway

13

1. 対策方針 2. 技術開発

4. 会社ルール 5. 人材育成 3. 標準化

/ 32



Confidential

©


プロセス：

リスクレベルの定義と設計・評価基準

車業界の分散開発に合った役割分担

セーフティ（機能安全含む）との関係性

最終的にはISO化（state-of-the-art）

プロダクト：

想定脅威、対策レベルの相場形成

設計技術と評価技術の標準化

セキュリティ評価・テストベッド構築

活動内容

セキュアなモノづくりの仕組み攻撃・脆弱性管理とセキュリティ機能更新の仕組み

情報共有：日本版Auto-ISAC （OEM＋サプライヤ領域）

機能更新：

クルマ版Scoring System

車業界での運用

更新の仕組み（Over The Airリプロ）

緊急対応の仕組み

OEM・サプライヤ間の既存の品質保証の

仕組みのセキュリティ拡張（個社）

インフラのインシデント対応方法（e.g.V2X）

出荷前出荷後

①Development

③Incident Response

② Vulnerability Handling

今後、国・他業界も巻込んだ活動が必要現在、車業界で活動中

ISAC: Information Sharing and Analysis Center 14

/ 32



Confidential

©


セキュリティ共通基盤

製品開発とセキュリティ開発との関係

製品開発部署は共通基盤から適切なプロセス、対策・評価を選択し適用する

①Development

製品開発

要件定義

E/Eシステム開発

E/Eコンポーネント開発

HW・SW設計

実装・テスト

開発プロセス

セキュリティ機能開発セキュリティポリシ

セキュリティ要件定義

システム

セキュリティ仕様開発

コンポーネント（HW・SW）

セキュリティ仕様開発

セキュリティテスト

①プロセスセキュリティ開発プロセス

共通基盤

基本方針

テスト

基準

設計検証

基準

③評価 ②対策

対策・評価レベルの相場観

対策技術

実装技術

①プロセス ②対策基盤 ③評価基盤により、現場で使えるレベルにする

15

/ 32



Confidential

©


目次




1. セキュリティ概要


2.1 量産適用の課題


4. まとめ

16

/ 32



Confidential

©


セキュリティ開発プロセス

セキュリティ要件定義： 2段階の要件定義プロセス財産・プライバシー系：クルマの保護資産（情報）を攻撃から守る

セーフティ系：クルマのハザードを引き起こす可能性のある要因を攻撃から守る

情報漏えい（例：走行履歴）

攻撃要因

分析（ATA）で

対策：認証、暗号化…

財産・プライバシ系の要件定義

ATA：Attack Tree Analysis

ハザード

アクチュエータC

対策：認証、改ざん検知、暗号化…

信号A センサB

要因分析

（FTA）で解析

要因

セーフティ系の要件定義

ATAで

解析

FTA：Fault Tree Analysis

車両開発のワークフロー定義現状のクルマ業界の開発スタイル（分散・自工程完結）を考慮する

各工程（車両、システム、HW、SW）の役割・責任分担の明確化

以降、セーフティとセキュリティの関係について詳述する

17

/ 32



Confidential

©


spoofing

of ECU

Sensor Auth.

Tamper Proof

Sensor Auth.

Tamper Proof Secure Boot Actuator Auth.

Tamper Proof ECU Auth.

ECU

error

ECU

error detection

spoofing tamper spoofing tamper spoofing tamper

Security controls added on some modules

spoofing

of MCU tamper

Attack

セーフティ&セキュリティ

セキュリティ機能で

安全機能の脆弱性を低減する

セーフティを構成するデータや

機能の完全性と可用性を保護する

プロセス定義の着眼点

クルマは安全機能により、

クルマの安全性を担保する

セキュリティの攻撃は

クルマが危険な状態に至る要因の一つ

Unintended severe failure operation

COMMAND Failure INPUT Failure OUTPUT Failure

SA1 error Comparison with SA2

open

Command value

error SB1 error

Motor

error

Output F/B

detection

overcurrent … … short … RAM change …

Comparison with SB2 Self test

for MCU

…

… …

… …

Safety Mechanisms

主機能 e.q. LKA, ACC

安全機能（Safety Mechanism)

e.g. Driver Override

Existing

Existing

セキュリティ機能

• Access Control to DLC

• Domain Isolation of networks

• Authentication between ECUs or ECU-sensor

• Message Authentication of critical data

• Secure boot

e.g.

New

e.g. bus cut-off, fail op

Fault

Error

Failure

18

/ 32



Confidential

©


車業界の開発スタイル（分散、自工程完結）も考慮し、役割を明確化する

Concept

System Basic Design

Functional Basic Design

VA, FCR

HARA, Safety Goal

System Design Vul. Veri.

TARA, Security Goal

Safety Veri.

Function Design

SA, FSR

VA, TCR

SA, TSR

Vul. Veri. Safety Veri.

Hardware Design Vul. Veri. Safety Veri.

VA, HCR

SA, HSR HW Basic Design

Software Design

Vul. Veri. Safety Veri.

VA, SCR

SA, SSR SW Basic Design

Vul.

Test

HARA: Hazard Analysis and Risk Assessment TARA: Threat Analysis and Risk Assessment SA: Security Analysis Safety Veri.: Safety Verification VA: Vulnerability Analysis Vul. *: Vulnerability * V&V: Verification and Validation

*SR: * Safety Requirement *CR: * Cybersecurity Requirement F*R: Functional * Requirement T*R: Technical * Requirement H*R: Hardware * Requirement S*R: Software * Requirement

Safety

Test

Software V&V

Vul.

Test Safety

Test

Hardware V&V

Vul.

Test Safety

Test

System V&V

Vul.

Test Safety

Test

Vehicle V&V

HW

SW

System

ワークフロー

考え方：安全機能の脆弱性を

セキュリティで低減する

Safety Analysis

Safety Requirement

Safety Verification

Safety Test

Safety (existing)

19

車両レベルの脅威・リスク分析により、クルマとしてのセキュリティゴール（SG）を定義する

システムレベル以降は、SGとセーフティ要件を踏まえて詳細設計・テスト（脆弱性観点含む）する ※トレーサビリティ

セキュリティ検討の入力は安全機能

Security (new)

Vulnerability Analysis

Security Requirement

Vulnerability Verification

Vulnerability Test

Design

Test

/ 32



Confidential

©


主機能に対するハザードに対してセキュリティ要件を定義

V2V Communication

Vehicle in front

CACC

GPS

Speed

V2V V2V

Radar

CACC VLC

Engine

Brake

Acceleration

Acceleration Request Torque Radar (Distance)

ハザード: 意図しない急加速

安全状態: ブレーキオーバライド

最大加速度 = 0.x G

ASIL： x

セーフティゴール

脅威: 意図しない急加速（同一）セキュア状態: ブレーキオーバライド、最大化速度0.xG

セキュリティレベル X （検討中）攻撃対象: 無線区間、車載LAN、センサ

セキュリティゴール

Brake Pedal

MaxG

uard

Speed

Sensors ECU Speed

Sensors Speed

Sensors Speed

Sensors CRC

Protocol

Security

SHE

Security

MAC

Security

20 CACCにおけるセキュリティ対応例特定の車両システムは想定していません

CACC: Cooperative Adaptive Cruise Control

セーフティとセキュリティによりクルマを攻撃から守る

VLC: Vehicle Longitudinal Control

SHE: Secure Hardware Extension

MAC: Message Authentication Code

/ 32



Confidential

©


目次






2.1 量産適用の課題


4. まとめ

21

/ 32



Confidential

©


車両C

車両B

車両A

量産適用の課題と考え方

既存資産の有効活用とセキュリティ部署の下支えにより実現する

課題① 品質・セーフティ・セキュリティの保証

品質

セーフティ

セキュリティ

品質

セーフティレベル

既存製品将来製品

既存

課題② 脆弱性管理、ｾｷｭﾘﾃｨ人材不足

既存製品・プロセスをベースに

セキュリティを強化する（再掲）

•車両開発前に標準アーキテクチャを開発する •品質・セーフティ設計後にセキュリティ対応する

セキュリティ

セーフティシステム車両 HW

SW

システム車両 HW SW

車両開発の流れ

標準ｱｰｷﾃｸﾁｬ（ｾｰﾌﾃｨ&

ｾｷｭﾘﾃｨ対応済）

・・・

車両開発前

Concept

System Basic Design


VA, FCR

HARA, Safety Goal

System DesignVul. Veri.

TARA,Security Goal

Safety Veri.

Function Design

SA, FSR

VA, TCR

SA, TSR

Vul. Veri.Safety Veri.

Hardware Design


VA, HCR

SA, HSRHW Basic Design

Software Design


VA, SCR

SA, SSR

SW Basic Design

Vul.

TestSafety

Test

Software V&V

Vul.

Test

Safety

Test

Hardware V&V

Vul.

TestSafety

Test

System V&V

Vul.

Test

Safety

Test

Vehicle V&V

HW

SW

System

現状の製品部署の工数増を最小限に留める

22

セキュリティ部署を新設し、共通部分（次ページ参照）は恒久的に管理する

共通部分（特権機能）を利用した攻撃から

保護する要件

（アプリ非依存）

主機能の動作を

攻撃から保護

する要件

（アプリ依存）

要件

要件

製品部署

セキュリティ

部署

標準部品

P47参照

/ 32



Confidential

©


特権機能

車両（適合）

システム（故障診断、リプロ）

ハードウェア（製造テスト、不良解析）

ソフトウェア（デバッグ）

アプリ非依存

既存

項目定義例分類

主機能お客様にご提供する機能走曲止、高度運転支援、IVI アプリ依存

［補足］クルマの機能とセキュリティ対策

主機能

既存

車両

システム

ハードウェア

ソフトウェア

アプリ依存

既存

23

クルマの機能

Memory

Program

Data

MCU

Program

Data

通信端子（CAN等）

デバッグ/テスト端子

プログラム、データの読み出し、書き換え

ECU

JTAG

シリアル

ダイアグキャリブレーション

リプロ

JTAGイメージ

V2V Communication

V2V

Radar

CACCVLC Engine

Brake

Acceleration

Acceleration Request TorqueRadar (Distance)

Brake Pedal

MaxG

uard

Speed

Sensors ECUSpeed

SensorsSpeed

SensorsSpeed

SensorsCRC

Protocol

Security

SHE

Security

MAC

Security

セキュリティ機能（例）ECU認証、改ざん検知、異常検知

製品部署が分析・開発する

新規

プライバシ・財産系

セキュリティ

項目定義例分類

主機能お客様にご提供する機能走曲止、高度運転支援、IVI アプリ依存

特権機能（共通部分）品質保証や機能確証に必要な機能デバッグ、リプロ、製造テストアプリ非依存

安全機能（安全関連システムの場合）（例）ﾄﾞﾗｲﾊﾞｰｵｰﾊﾞｰﾗｲﾄﾞ

セーフティ系





新規

セキュリティ

セキュリティ部署が開発し製品部署に提供する

主機能と特権機能を守ることが必要である

/ 32



Confidential

©


特権機能の概要

ECU内のプログラム、データに外部からアクセス可能な機能

Memory

Program

Data

MCU

Program

Data

通信端子

（CAN等）

デバッグ/テスト

端子

プログラム、データの読み出し、書き換え

ECU

JTAG

シリアル

ダイアグ

キャリブレーション

リプロ

JTAGイメージ

分類機能説明

マイコン／メモリ JTAG

マイコンのデバッグポート。CPUバスに接続でき、プログラムの実行や

メモリ読み出し、書き込みが可能

シリアルマイコンのFlashメモリに書き込みを行うI/F

通信端子

ダイアグ CANなどから内部の情報にアクセスするコマンド

キャリブレーションパラメータの書き換え。メモリのデータ書き込みが可能

リプログラミングプログラムの更新機能

JTAGイメージ source: http://www.tokudenkairo.co.jp/jtag/whatisjtag.html

24

http://www.tokudenkairo.co.jp/jtag/whatisjtag.html

/ 32



Confidential

©


ECU対策基準

不変的な脅威レベルを定義し、標準的なECU対策基準を作成済み

25

特権機能対策

SL1

脅威と対策のバランスが重要

SL2 SL3 SL4

世の中の規格を参考

ISO 15408:

FIPS140-2: 攻撃能力（脅威）でレベル分け

一般的なI/Fを

利用した攻撃

デバイスマニュアル参照

市販機器利用

高度な専門性

専門機器利用

想定できる

あらゆる攻撃脅威

少し頑張れば

攻撃できる

攻撃にお金、

時間、知識が必要最先端研究

脅威の考え方

SLとECU対策基準とのひも付け

リプロデバッグ誰でも

攻撃できる

/ 32



Confidential

©


課題：セキュリティレベルと効率化とを両立する

コンセプト：セキュリティプラットフォーム*で製品を保証する

セキュリティプラットフォームの開発・保守はセキュリティ部署が実施する

セキュリティプラットフォーム

Vulnerability Analysis

Security Requirement

Security Specification

Security Implementation

Target Definition

Threat Analysis

Risk Assessment

Security Goal

Vulnerability

Verification

Vulnerability

Test

Vehicle, System, HW, SW

Security Product Development

Vul. Veri. Method

Vul. Test Method

Std. Vul. Test DB

Attack DB

Security Platform

Maintenance Development

Vulnerability DB

Attack DB

Vulnerability DB

* 十分に脆弱性を低減済み

（例：第3者評価）

Requirement Method

Threat &Risk Analysis

Security Manual

Security Design Rule Std. Design

DB

Attack DB

Security Platform

Development Maintenance

Vulnerability DB

Std. Spec. DB

Attack DB

Vulnerability DB

26

/ 32



Confidential

©


セキュリティ評価基盤

目的

セキュアな製品開発のためセキュリティ評価を強化

外部への説明責任

■ 他業界の標準スキーム

IT 業界

ISO/IEC 15408・18045（CC※1・CEM※2） ISO/IEC 19790・24759

（FIPS 140-2, FIPS 140-2 DTR）制御システム

EDSA※3（IEC 62443）

■現在の評価プロセス

設計

設計レビュー

実装

コードチェック、コードレビュー

テスト

V&V テスト, 閾値テストなど

比較&分析

※1 Common Criteria

※2 Common Methodology for Information Technology Security Evaluation

※3 Embedded Device Security Assurance

既存の業界標準を車両評価フローへ取込む

セキュアなものづくりのための基盤を構築する

内容

妥当性チェックリスト、ツール

セキュリティ評価要件

脆弱性DB

攻撃DB

セキュリティ評価共通基盤

3. Security

requirement Check

(ex. FIPS140-2)

1. Adequacy

Check (CC, PCIDSS)

5. Secure Coding Check(ex. CERT C )

8. Security

Verification(ex. FIPS140 -2)

2. Anti

VulnerabilityCheck (CEM)

9. Security Validation

*RBG : Random BitGeneratorsCAVP :CRYPTOGRAPHIC

ALGORITHM VALIDATION PROGRAM

Public Source:

ISAC, CERT etc.

Vehicle

System

HW

SW

System Basic Design


VA, FCR

H&R, Safety Goal

System DesignVul. Veri.

T&R,Security Goal

Safety Veri.

Function Design

SA, FSR

VA, TCR

SA, TSR


Hardware DesignVul. Veri.Safety Veri.

VA, HCR

SA, HSRHW Basic Design

Software Design


VA, SCR

SA, SSRSW Basic Design

Vul.

TestSafety

Test

Software V&V

Vul.

TestSafety

Test

Hardware V&V

Vul.

TestSafety

Test

System V&V

Vul.

TestSafety

Test

Vehicle V&V

* vehicle, system, HW and SW

6. C

AV

P*

7. R

BG

* Evalu

atio

n(A

IS 2

0)

4. Vulnerability

Analysis(CEM)

10. Vulnerability Test (CEM)

11. Penetration Test (CEM)

Vulnerability DB Attack DB

implementation

requirement

Design

Validation

Verification

27

/ 32



Confidential

©


目次







4. まとめ

28

/ 32



Confidential

©


［再掲］セキュリティコンセプト

• 財産、プライバシ： IT技術をベースに防御する

• 人命（セーフティ）：さらなるセーフティ強化とIT技術の融合で防御する

29

Secure Logging

Anomaly Detection

Vehicle

攻撃者

Outside

考え方：保護資産毎に最適な既存資産を活用して多層防御する

人命

プライバシ

財産

Exte

rnal F

irew

all

Exte

rna

l Tra

nsa

ctio

n D

efe

nse

Exte

rnal E

CU

Defe

nse

IT技術の車載適用 In

tern

al G

W D

efe

nse

Inte

rnal T

ransactio

n D

efe

nse

Inte

rna

l Fire

wa

ll

Inte

rnal E

CU

Defe

nse

IT技術の車載改良

De

fen

se fo

r Safe

ty

Syste

m S

afe

ty

既存セーフティの強化

財産（車両盗難）

/ 32



Confidential

©


核となる技術領域

保護資産と出荷時期で整理

核となる技術領域

20年目線の安全関連（完全性の保証）

対策技術

攻撃前後で大分類し、

目的別に技術を整理する

外出時に監視

※防犯ｶﾒﾗ・ｾﾝｻ

• 侵入検知

• 侵入防御

技術領域の整理

安全

プライバシ

財産

20年目線 25年目線

地域見回りや警備会社と契約する

※泥棒を近づけない

• ドメイン分離

• ECU対策

• ソフト対策

厳重な戸締り

※2重ﾛｯｸ、ｼｬｯﾀｰ番犬、金庫

• アクセス制御

• 機器認証

• 改ざん検知・暗号化

予防検知抑止

速やかに通報 ※不正利用防止（各種ｶｰﾄﾞ）

• フェールセーフ

• 機能縮退

盗難保険

※再発行

• ｾｷｭﾘﾃｨﾊﾟｯﾁ

• OTAリプロ

• Fail Operational

通知処置回復

未然防止事後対策

領域拡大

出荷時期

保護資産

30

以降、 20年目線のセキュリティアーキテクチャを説明する

/ 32



Confidential

©


セキュリティアーキテクチャ

セキュリティアーキテクチャを定義の上、対策技術を開発／製品適用中

31

DCM: Data Communication Module V2X: Vehicle-to-X PLC: Power Line Communication

GW: Gateway H/U: Head Unit AT: Automatic Transmission

スマートフォン

V2X通信

専用線診断ツール

充電

ステーション

シャシ

エアコンドア

ステアブレーキ

V2X

H/U

Bluetooth Wi-Fi

車載ＧＷ

DCM

PLC

データセンタ

クラウド

Bluetooth Wi-Fi

マルチメディア

ボデー

車両

レイヤ1 レイヤ4 レイヤ3

脅威

ADAS ADAS ロケータ

エンジン AT パワートレイン

… LTE

外部接続 GW 車載LAN ECU

レイヤ2

…

…

…

…

… 専用線

①抑止: 多層防御／ドメイン分離

セキュアハード実装

セキュアプログラミング ①抑止

セキュアストレージ

デジタル署名

暗号化

鍵管理

ECU認証

メッセージ認証セキュアブートアクセス制御

（フィルタリング）暗号化

アクセス制御

（認証、ﾌｨﾙﾀﾘﾝｸﾞ）

②予防

異常検知

セキュアロギング ③検知

リプログラミング（ツール、OTA） ④回復

DCM: Data Communication Module

V2X: Vehicle-to-X

PLC: Power Line Communication

GW: Gateway

H/U: Head Uni

ADAS: Advanced Driving Assistant System

AT: Automatic Transmission

ECU: Electronic Control Unit

/ 32



Confidential

©


まとめ

背景・動向

クルマがIoTの一部となりつつあり、サイバーセキュリティの重要性は高まっている

クルマがハッキング対象と認識されている

車業界でセキュリティの標準化にむけ、欧米からの提案などの動き

弊社の活動

【仕組み】車業界のセキュリティの確立を目指し、ライフサイクルとサプライチェーンを検討中

【セキュリティコンセプト】IT業界の多層防御の考え方をベースに車載特有の課題を解決中

【プロセス・プロダクト】車特有のセーフティ＆セキュリティの関係性（ワークフロー）を定義し、

効率的なモノづくりのためにセキュリティ対策基盤、評価基盤の開発を推進中

今後の課題

グローバルかつ他業界を踏まえて、車業界の想定攻撃を定義する

クルマのリスク評価手法（≒ASILのセキュリティ版）を定め、各リスクレベルにおける

設計・評価レベルを策定する

車業界の「Development, Vulnerability Handling, Incident Response」の

仕組みを構築する

32

/ 32



Confidential

©


Thank you for your attentions

Documents

32 自動車部品メーカとしての セーフティ セキュリティの活動 … · 株式会社デンソー 電子基盤システム開発部 ... クルマへの攻撃事例より、これまでのセーフティに加えて、

32 自動車部品メーカとしてのセーフティセキュリティの活動 … · 株式会社デンソー電子基盤システム開発部 ... クルマへの攻撃事例より、これまでのセーフティに加えて、