セキュリティトピック

セキュリティソリューションが必要なコネクテッドカーの現状:PKIの採用

2年後の2020年までに、およそ2億5千万台のコネクテッドカーが道路を走る事になると言われています。既に2100万台のコネクテッドカーが運転されているのです。私たちの車の多くは既に私たちが運転している間にも、スポーツの試合結果、交通情報、ソーシャルメディアのアップデートを常時実施するという魅力的な機能を備えています。車と車で通信することでさえ、難しい話ではありません。革新は無限であり、潜在的な脅威もまた無限に存在します。

私たちは、研究者たちによって実演された攻撃を目の当たりにし、コネクテッドカーに対する攻撃が可能であることを知っています。しかし、自動車セキュリティ業界においてはコネクテッドカーに対する攻撃に対する一致した意見はまだ存在しないようです。コネクテッドカーや道路をより安全なものにするためにはどうしたら良いのでしょうか。結局のところ、コネクテッドカーは守らなければいけないエンドポイントの1つにすぎません。業界全体で導入ができるようなソリューションは存在するのでしょうか。私たちは、ある、と考えます。

潜在的な脅威とは?

一般的な消費者は、インターネットに接続する新しい機器やおもちゃを購入する際、セキュリティについて深く考えることはありません。それよりも、生活をより簡単で便利なものにしてくれるかどうか、が購入の際の重要な点です。車も例外ではなく、McAfeeによると「コネクテッドカーは、携帯電話、タブレットに次いで、急成長中の技術機器である」と言われるほど普及しています。 しかし、自動車メーカーやセキュリティ専門家たちは、車載コンピュータが他のコンピュータと同じであることを知っています。外部と通信し、たくさんの情報を保有しているため、大きな攻撃対象となる可能性があるのです。

コネクテッドカーは(あるいは実際に接続しているシステム)はデータ解析を常にしています。たとえば、GPS座標や速度など、あなたの習慣を示す特定の個人情報をたくさん収集し、自動車メーカー(および潜在的な攻撃者)に提供します。これにより、車の部品の摩耗を監視し、メンテナンスの時期を提示することができるようにもなりました。

組織も危険にさらされています。OnStarのようなエンターテインメントやコンビニエンスサービスを提供する企業が自動車メーカーと連携しているため、攻撃者は企業のシステムへ侵入するための入り口として車両を使用することができるのです。

自動車のセキュリティは、デジタルな危険だけでなく物理的な危険をも引き起こします。あなたの個人情報が流出する以上の危険がそこには存在するのです。特注デバイスがあれば、遠隔操作で車を検知し、ロックを解除、そして動かすことができます。最悪の場合、攻撃者は移動中に車を物理的に制御することさえできます。TechCrunch(※1)はサイバーセキュリティの障害についてより深く掘り下げています。「車のサイバーセキュリティにおける主な課題の1つは、車内のさまざまな電気部品(電子制御ユニット、またはECU)が内部ネットワークで接続されている事です。したがって、ハッカーが車のBluetoothや情報提供システムのような脆弱な電子制御ユニットにアクセスできるようになると、ブレーキやエンジンといった安全性の高い電子制御ユニットまでもコントロールし、混乱を招く可能性もあります。」

自動車のサイバーセキュリティは、多くの可動部品が存在するため簡単に解決できない問題であり、堅牢なソリューションが求められています。

コネクテッドカーのためのセキュリティソリューション

幸いにも、多くの自動車メーカーはセキュリティを重要視しています。たとえば、フォード社は車両制御システムのネットワークを情報提供システムとは分離して構築し、ソフトウェアの更新やデータ通信を暗号化により保護して、フォードによって認証(“コード署名“)されたソフトウェアだけが更新可能になるなど、通信や車両を保護するための仕組みを組み込んでいます。

コード署名は、自動車メーカー、および企業が信頼できる発信元からの通信であることを証明できるようにするもので、コネクテッドカーのセキュリティソリューションには欠かせない要素です。コード署名は、PKI(公開鍵インフラストラクチャ)テクノロジであり、暗号化、認証、およびID確認を行い、豊富なセキュリティソリューションを提供します。なかでも、SSL / TLS証明書を使用してWebサイトにHTTPSを提供するWeb PKIは、最も広く知られているPKIの利用方法です。

すべてのPKIシステムには、認証局(CA)と証明書の2つの主要コンポーネントが存在します。CAは集中管理され、個々のユーザーまたはコンピュータに証明書を発行します。これらの証明書は、デバイスを識別して安全に通信し、なりすましやオンラインでの改ざんを防止します。公開鍵暗号は、ネットワーク上の暗号鍵を安全に交換するために使用され、データの暗号化、デバイスの認証などに使用できます。

PKIは、様々な事例で何十年も利用され信頼が証明されたソリューションです。“ウェブトラストエコシステム”は、PKIにより実現されたと言えます。PKIは、インターネットに接続する数十億のデバイスやシステムで使用され、暗号化の提供、ユーザーまたはデバイスの認証、身元の証明を行います。これは非常に適応性の高い技術であり、車両にはさまざまな方法で導入が可能です。コード署名がその一例ですが、PKIを使用して個々の車両(あるいは車両内に組み込まれた個別のチップさえ)をそれぞれ認証して、システム間のデータ通信を暗号化し、整合性チェックを行う事が可能になります。Certicomは、自動車向けPKIの良い事例であり、こちらのホワイトペーパー(英文)で詳細をご紹介しています。

コネクテッドカーがドライバーを保護するための暗号化と認証を導入していない為、ジープ(Jeep)がハッキングされたりアプリの脆弱性が表面化したりするのです。Automotive PKIは、リモート攻撃を防ぎ、セキュリティOTA更新を送信し、通信を保護することができます。 メーカーやセキュリティチームが今から実施する事が出来るPKIの詳細については、こちら(英文)をご確認ください。

※1:アメリカのブログサイト。主にIT系のスタートアップやWebに関するニュースを配信している

原文はこちら

TLS:低消費電力デバイスにも導入可能なセキュリティ対策

TLS:低消費電力デバイスにも導入可能なセキュリティ対策

ここ数年、モバイル機器は電力面で大きく進化しましたが、IoTエコシステムの一部となる機器は、未だに消費電力とバッテリ寿命が極めて制限されていると言えます。今後も伸びると予測されるIoTの成長と、それに伴い増加する多様な電力とメモリを持つ接続デバイスによって、セキュリティはこれまで以上に重要になる事は間違いありません。

続きを読む

ホスピタリティ業界でインターネットに接続されたデバイスを保護する方法

ホスピタリティ業界でインターネットに接続されたデバイスを保護する方法

ホスピタリティの現場で使用されているIoTデバイスは、公共のインターネットを使って通信します。そして、お客様あるいは経営者たちに利益を提供します。どんな問題が出てくるというのでしょうか?

続きを読む

デジタル証明書が担うOTA(over-the-air)アップデートでの重要な役割

デジタル証明書が担うOTA(over-the-air)アップデートでの重要な役割

一般的な消費者は最新のガジェットがいかに生活を楽なものにしてくれるかという事には大きな興味を持っていますが、デバイスが最新の状態にあるかどうか、セキュリティが組み込まれているか、についてはほとんど考えが及ぶ事はありません。これらの事をより意識しているのはデバイスメーカであり、接続されている各デバイスやシステムのセキュリティを維持する為、アップデート実行の方法を必要としています。

続きを読む

コミュニティに参加

Symantec Connect(シマンテックブログ)でセキュリティに関する議論に参加

COMMUNITY

脅威インテリジェンスについて Twitter @Threatintel をフォロー

SYMANTEC ON TWITTER

YouTube チャンネルでシマンテックウェブサイトセキュリティのビデオを見る

SYMANTEC ON YOUTUBE