今回のおはなし
カーメーカー側に課せられた法的義務はすさまじく、セキュリティ法規対応車両に関係する情報管理体制までガチガチに縛られています。
正当にセキュリティ関連情報を得られるのは、カーメーカーと正規に機密保持契約・開発契約を結んだ企業の担当社員だけ?
メーカーが意図的に悪質な情報流出を起こしたら型式認証取消までありえるのか??
その情報管理体制の義務について、法規を読み解いて迫っていきます。
ツッコミ・コメント大歓迎です!
これまでの背景とあらすじ
CX-60や2024年型NDロードスターは「サイバーセキュリティ法規」に対応しています。
この法規とは国連法規で、日本も正式に取り入れています。
UN-R155 車両のサイバーセキュリティ及びサイバーセキュリティ管理システム(CSMS)
UN-R156ソフトウエアアップデート及びソフトウェアアップデート管理システム(SUMS)
両方合わせてCSSUと言ったりします。
原文はこちら
https://unece.org/transport/documents/2021/03/standards/un-regulation-no-155-cyber-security-and-cyber-security
https://unece.org/transport/documents/2021/03/standards/un-regulation-no-156-software-update-and-software-update
国交省のスライドもどうぞ
https://www.mlit.go.jp/common/001373651.pdf
日本の車検制度でも、対象年式以降の車はUN-R155/UN-R156適合状態を求めています。
審査事務規定:サイバーセキュリティシステム及びプログラム等改変システム
(車検合否基準=保安基準の運用規定のようなもの)
https://www.naltec.go.jp/publication/regulation/fkoifn0000000ljx-att/fkoifn000000cces.pdf
※自動車検査員が継続車検で適否を見抜く能力ないでしょ?というのはさておき、建前としてはそうなってます。
ちょっと腰を据えて理解したい人は、先に偉大な先人の下記ブログをおすすめします。
おおむねカーメーカー・サプライヤ側の立場で書かれていて勉強になります。
これからのくるまのセキュリティを考えるぶろぐ
https://kurumagatunagaru.hateblo.jp/
うちの記事シリーズは法規原文や上記ブログ等を読みやすく薄め、2024年大幅改良のNDロードスターに興味があるみんカラユーザー(自動車ファン・オーナー)層向けに身近に感じやすい内容へ落とし込むことを目指しています。
berumiya では以前より四報にわたりシリーズ記事を出しています。
第三報・第四報では車両側の実装について注目し、電装配線の信号割込みやROMチューンが技術的に極めて困難らしいことを把握しました。
NDロド 2024年式と自動車サイバーセキュリティ法規制(第三報)
https://minkara.carview.co.jp/userid/615186/blog/47452255/
CANバスのデータ割り込みはヤバイ:セキュリティ法規解説 第四報
https://minkara.carview.co.jp/userid/615186/blog/47455110/
おことわり
本記事シリーズは自動車ファン・オーナー向けに書かれており、開発実務に耐える内容ではありません。
法規認証業務や法規解釈等、ご自身の実業務や法律問題でお困りの際は、所属会社の担当部署や専門家へご相談ください。
不確実なことを断定的に書かないよう気を付けていますが、誤りのご指摘があった際は事後訂正にてご容赦ください。
第五報 本文
前回までの記事では、セキュリティ対応のCX-60や大幅改良NDロードスターでは電装配線の信号割込みやROMチューンが技術的に困難らしいことがわかりました。
だったら…他の方法ではできない?
そう考えるのが自然ですね。
・にせの通信基地局を立てて、OTA経路から改造ソフトを流し込めないか?
・カーメーカーのOTA配信サーバをハッキングして、改造ソフトを配置してOTA配信できないか?
・パスワードでメンテナンスモードや管理者モード等に入れたりしないか?
・車両セキュリティを解除する正規アクセスキーがどっかから持ち出せないか?
カーメーカー開発社員に持ち出してもらうとか、正規の開発協力会社(サプライヤ)の社員に就職するとか
こういったことが思いつくわけですよ。
もちろんそんなことが簡単にできたらセキュリティが一気にザルになる訳でありまして。
まあ規制を作る側もよくわかってるので…
UN法規では「そうならないよう努めるべし」とカーメーカーに様々な義務を課すわけです。
といったところで、またまた法規 UN-R155 原文に戻ります。
前回第四報で見た Annex 5「脅威と対応する緩和策のリスト」です。
Table A1 には対処すべき脅威が列挙されていますが、
前回見たCANバス関係のほかにも色々書いてあります。
対処すべき脆弱性や攻撃手法の例として
・職員による特権の乱用(インサイダー攻撃)
・サーバーへの不正なネット経由アクセス
・サーバーへの不正な物理的アクセス
・受信データのなりすまし
・不正な特権昇格
(抜粋です。興味ある方は原文ご参照)
たいてい思いつく限りのものは「対処すべき脅威」として一通りの対処を求められており、法規対応で作られた車両ではメーカーが対策しているはずです。
特に "いの一番" にインサイダー攻撃が書いてありますね。
ここ爆笑ポイントですよ!!
\どわっははは~~!/
有史以来、数限りないセキュリティがインサイダーによってザルにされてきました。
どんなに技術的なセキュリティが発達しても、人の脆弱性は変わらないんですね~。
だからこそ、法規原文でもインサイダー情報漏洩に対する管理に力を入れて書かれています。
タイトルに「〇〇マネジメントシステム」とわざわざ書いてあるくらいですからね。
本文を読み解くと、車両型式認証の際にメーカー管理体制に課された義務が見えてきます。
UN-R155/156の5章 承認、7章 仕様 によると
・リスク評価・リスク緩和策の文書化
・サプライチェーンを含めたリスク管理の実証
・セキュリティ対策の実施、攻撃の検出・記録・分析・継続的な報告
・販売前の開発・製造販売中・製造中止後にわたる適用
などが包括的に要求されます。
(抜粋です。興味ある方は原文ご参照)
このあたりが審査機関にしっかり確認され、適合証明書を受けることが車両型式認証の要件となっています。
特に注目点は、車両本体の外側にある
「サプライチェーンを含めたカーメーカー側のセキュリティ管理体制」
までが車両型式認証の要件に入っていることです。
さらに…7章にさらっと恐ろしい一文がいます。
・報告または対応が十分でない場合、承認当局は認証の撤回を決定する場合があります
サイバーセキュリティ法規対応でも、メーカーに悪質な不正が見つかれば型式認証取消が可能。
そういう制度建付けになっているんですよ。
berumiya は心底ぞっとしましたね。
さて。セキュリティ管理体制について、具体的な実装や方法はどうでしょう?
結論としてはカーメーカー各自の独自の取組となり、公開情報から特定するのは困難です。
UN法規を見ても抽象的なことしか書いておらず、実装の特定は意図的に避けている感じがします。
そりゃそうですよね法規なんですから。セキュリティが結果として堅牢であり、それが筋道立って説明・証明可能であれば、使う道具や実装を法規で縛る必要はないわけです。
規制当局側としてメーカーを審査・認証する業務を受託遂行している「テュフ ラインランド」社の連載記事もあります。
連載「自動車のサイバーセキュリティ」第一回
https://insights.tuv.com/jpblog/un-r155
これを見ても、具体的な実装を特定する書き方はありません。
さて、いつもの berumiya の妄想ですが
・当然ながらカーメーカー側のシステムとしての情報管理・漏洩防止やリスク管理等の体制ができており、定期的に分析・レビューされているのでは
・セキュリティ関連情報へのアクセス権限は個人単位で管理され、権限やアクセス履歴等も定期的にレビューされているのでは
・以上がサプライチェーン全体にわたって徹底的に適用されるよう機密保持契約が結ばれているのでは
・必要な機密保持契約等を結んでいない人・企業・団体等にセキュリティ関係情報を渡すことや、正規に渡った情報が契約終了後に漫然と放置されることは一切厳禁なのでは
まともな神経してたらそう思いますよね。
開発協力企業のサプライチェーン全体にわたって徹底させるのは並大抵じゃないはずですが、法的義務ならやるしかありません。
そのへんは「これからのくるまのセキュリティを考えるぶろぐ」でも3年以上前に指摘されておりまして
CSMS解釈その1 -そしてCSMSは新しいTier1サプライヤーを産み落とす-
https://kurumagatunagaru.hateblo.jp/entry/2020/12/14/180654
『このあたりは中小零細企業にどこまで求めるのか、自動車メーカー、Tier1、2がどの程度責任を肩代わりするのか等、議論が必要な部分でしょう。トヨタのような企業であれば上から下までズドーンと落とせるかもしれませんし、マツダのような比較的小規模でローカルサプライヤーを抱えているような企業では、ある程度上位層で担保してあげる必要があるのかもしれません。』
もしかして情報資産はメーカー側システムで一元管理し、中小サプライヤにはアカウント発行して都度アクセス管理しながら仕事してもらうような方法もあるかもしれません。
私も建設重機の完成車メーカーの設計社員です。
弊社で言えば、立場を悪用して意図的に悪い事しようとしても手段がないなあ…と思います。
・弊社でも大抵の"悪い情報漏洩"は遮断されたり、事後追跡可能だったりします
・新規サプライヤに設計情報を共有するときは先に機密保持契約があることを確認します
・継続サプライヤに対する図面共有システムは取引先ごとにアクセス範囲を細かく限定し、ユーザー単位で管理されているようです
ウチの製品はナンバーを取らないオフロード建設重機なので、サイバーセキュリティ法規準拠はまだ先ですが、一般的な大手企業の情報管理としてもこれ位は当たり前にやってると思います。
昨今カーメーカーの認証不正が型式認証取消に至る事件が頻繁にニュースを騒がせていますが、今やサイバーセキュリティも型式認証制度とコンプライアンスに直結する問題となりました。
管理外の人や企業に対する悪質な情報流出インシデントがあれば
「自動車ユーザーの信頼を損ない、自動車認証制度の根幹を揺るがす行為」
という耳タコ事案になりかねない…。
カーメーカーはそうならないよう情報管理の徹底に努力しているものと思います。
はい、今回は以上です。
セキュリティ法規による情報管理体制の義務について追っていきました。
ロードスター斎藤主査が「今度の商品改良は法規対応」とさらっと言ってのけた背後で、我々自動車ユーザー・ファンの知らない物凄いことが起きていたんですね~。
ツッコミ・コメント大歓迎です!
次回は何の話をしようかな?
話題の要望もコメントくださると嬉しいです!
ではでは~~。