DevSecOps in the Automotive Sector - 自動車のセキュリティ、安全性、信頼性を実現するために実践する不可欠なこと

ソフトウェアが自動車のユビキタスとなった今、セキュリティが最重要課題に自動車のセキュリティ確保は、アドオンソリューションではもはや適切に対応できない課題となっています。最新のベストプラクティスはDevSecOpsを導入し、セキュリティ保護や長期テストの自動化に、開発の初期段階から取り組むことです。自動車メーカーや、自動車用ソリューションの開発を担う独立系ソフトウェアベンダーは、セキュリティ保護を強化し、運転時の安全性を高める目的で DevSecOps の採用を進めています。設計における重要作業として、潜在的な脆弱性を開発の初期段階で評価、排除することにより、より安全性の高いソリューションをリリースできるだけでなく、より効率的なコードのメンテナンスが実現できます。DevSecOps は既存の DevOps から派生した概念で、タスクを自動化し、コード開発に一貫性と構造化をもたらします。リスク要因を特定・軽減しようとする場合、既存の開発では、開発期間や現行保守業務の一部としてコードをリリース／レビューする、セキュリティを監視する、シミュレーションを実施するといった手法が採用されています。自動運転車や半自動運転車が普及する昨今では、DevSecOps によるセキュリティ向上が、顧客信頼の維持、増加するサイバーセキュリティ問題への対処、走行時の安全性強化の観点から不可欠となっています。1“Industry 4.0 and AI Best Practices,” Connected World, July 2020: connectedworld.com/ 12025 年におけるサイバー犯罪で生じる年間コスト（予測）1− Cybercrime Magazin 2最新型自動車のサイバーセキュリティに対する懸念が広く高まっている現状を受け、国際連 合 欧 州 経 済 委 員 会（UNECE）は、メーカーと消費者両者による新たなリスクへの対応・管理を支援する目的で、サイバーセキュリティおよびソフトウェアセキュリティに関し、新たに 2 つの国際基準を整備しました」− SecurityBoulevard.com「 DevOpsから派生したDevSecOpsプロセスにより、ソフトウェアの開発と運用を単一の循環型プロセスに統合このサイクルを実現するには、迅速なコードリリース、厳密なテストおよびフィードバックの実施、ソフトウェア製品の全ライフサイクルの把握が重要となります。ソフトウェアのビルドとアップデートを行うための基本的 か つ 有 効 な 概 念 と し て 多 く の 企 業 で 採 用 さ れ て い る DevOps は、DevSecOps へと変化し、図 1 に示すように、セキュリティのプロセスを組み込んだ概念となりました。コードの設計、作成、およびテストの進捗や、脅威の緩和、スキャン、修復、リリース済み各種コードの継続的監視といったセキュリティ課題をこのサイクルに含めることにより精査します。セキュリティ計画フィードバックリリースデリバリセキュリティ脅威モデルセキュアなコード作成デジタル署名侵入テストコードとしてのセキュリティ動的アプリケーションセキュリティテスト静的アプリケーションセキュリティテストセキュリティ構成セキュアなコード作成セキュリティ監視セキュリティ分析セキュリティスキャンセキュリティ監査セキュリティパッチ開発DEV運用ビルドSECOPSテスト監視デプロイ図 1：DevSecOps とは、既存の DevOps にセキュリティを加えた概念自動車のセキュリティ保護は、電子制御装置（ECU）および自動運転支援システム（ADAS）の設計および使用において最優先事項となっています。自動車の ECU や ADAS がドライバー以外の第三者によって外部からハッキングされる、制御権を奪われてしまうなどの事態が発生した場合、安全性とプライバシーの両面で甚大な被害につながりかねないからです。 交通システムや公共福祉の保護を担う組織は、リスク要因に対し積極的に取り組むようになっています。たとえば、Security Boulevard の StephenGates 氏は次のように述べています。「最新型自動車のサイバーセキュリティに対する懸念が広く高まっている現状を受け、国際連合欧州経済委員会（UNECE）は先日、メーカーと消費者両者による新たなリスクへの対応・管理を支援する目的で、サイバーセキュリティおよびソフトウェアセキュリティに関し、新たに 2 つの国際基準を整備しました。このように法的拘束力を持つ基準の設定は、自動車セキュリティ領域で初の国際協調による取り組みとなっています。これらの基準は乗用車、ワゴン車、トラック、バスに適用され、2021 年 1 月から施行されるもので、今日の自動車に 150 を越える電子制御装置（ECU）が搭載され、1 億行ものソフトウェアコードが組込まれているという現状を法整備の主な根拠としています。この数字は、最新戦闘機のおよそ 4 倍と推定されています」2自動車、トラック、その他の車両が「動くソフトウェアプラットフォーム」となりつつあることから、同様の規制が国家レベル、そして国際レベルでも適用されるようになることが期待されます。ウインドリバーは、自動車向けのセキュリティ強化に早い段階から取り組んでおり、サイバー攻撃に強い組込みセキュリティソリューション提供に、幅広い実績をもっています。米国国家道路交通安全局は自動車セクターに属するメーカーやシステム開発者に対し、自動運転システムの構築（安全基準を含む）、推奨する安全性評価テスト、各種シミュレーションの使用、および教育・研修を支援するガイドラインを提供しています。その全体像について説明した報告書として、「Ensuring American Leadership in Automated Vehicle Technologies」が 2020 年 1 月に発行されています。2securityboulevard.com/2020/07/on-the-road-to-devsecops-securing-the-software-driving-mobility3www.juniperresearch.com/press/press-releases/in-vehicle-commerce-opportunities-exceed-775mn 32023年には、7億7,500万台を超える自動車がテレマティックスまたは車載アプリケーションによって接続される見込みです（2018 年は3 億 3,000 万台）」3− Juniper Research「 市場を変える自動運転車自動運転車の普及に合わせた安全システムとセキュリティ保護が不可欠な時代に自動運転車の世界市場は 2019 年から 2026 年の間に、年間成長率 39.5%4拡大すると予測されています。自動車の複雑化が急激に進むなか、それに呼応するように組込み式の安全・セキュリティメカニズムの必要性が叫ばれています。このような現状と急激な環境の変化が重なり、DevSecOpsの価値が大幅に高まっています。ソフトウェア更新やパッチ適用、脆弱性の定期的な監視、重要ソフトウェアコンポーネントのライフサイクルメンテナンスを実現するテクノロジーを備えるだけでなく、これらの機能を体系的に提供するシステムを実装する必要があります。2026 年までに自動運転車の世界市場が到達すると予測される規模5− Allied Market ResearchADAS では 5 段階の運転支援レベルが定義されています。完全自動運転の時代に向け、現在は図 2 に示されるレベル 2 の段階にあります。人工知能の進化（特にディープランニング）は、完全自動運転への移行完了に必須となるでしょう。この領域に到達するには、安全性の配慮、ハッカー攻撃に対する複数のシステムの保護、より高度な制御システムの導入が必要です。運転支援運転支援システムが走行環境に応じたハンドル操作、あるいは、加減速のいずれかを行うとともに、システムが補助をしていない部分の運転操作をドライバーが行う。1特定条件下での自動運転運転支援システムが走行環境に応じたハンドル操作と加減速を行うとともに、システムが補助をしていない部分の運転操作をドライバーが行う。2自動運転なしドライバーが、常時、全ての運転操作を行う。04www.alliedmarketresearch.com/autonomous-vehicle-market5www.alliedmarketresearch.com/autonomous-vehicle-market560 億 6,700 万ドルに図 2：自動運転のレベル分け76www.nhtsa.gov/technology-innovation/automated-vehicles-safety#topic-road-self-driving7www.nhtsa.gov/technology-innovation/automated-vehicles-safety#topic-road-self-driving 4特定条件下におけるシステムからの運転操作切り替え要請にドライバーが適切に応じなかった場合でも、特定の運転モードにおいて自動化された運転システムが車両完全自動運転ドライバーでも対応可能ないかなる道路や走行環境条件のもとでも、自動化された運転システムが、常時、車両の運転操作を行う。5深 刻 な 自 動 車 事 故 の94%は人的ミスが原因です。2018 年の米国では36,560人が自動車関連の事故で死亡しており、救命機能を備えた運転支援テクノロジーの必要性が明らかとなっています」6−米国運輸省「 で条件付自動運転システムからの運転操作切り替え要請にドライバーは適切に応じるという条件のもと、特定の運転モードにおいて自動化された運転システムが車両の運転操作を行う。3 完全自動運転の運転操作を行う。4 DevSecOpsを支えるベストプラクティスDevSecOpsを導入する組織が増加し、ベストプラクティスの共通性も進化ソフトウェア実装時に以下のベストプラクティスを参考にすることで、ワークフローにセキュリティ保護を組み込んでフレームワークを構築することができます。推奨されるガイドラインとして、以下の項目があります。1.開発の初期段階で、自動セキュリティ制御とテストシーケンスを組み込む。2.セキュリティ管理とテストは、開発ライフサイクルの早い段階から、また、開発のあらゆる場所に組み込まれている必要がある。3.コード開発時にコードをスキャンできるツールを使用して、セキュリティ上の問題を早期に発見する。4.コードの依存関係（オープンソース）をチェックしてセキュリティの脆弱性を発見する。5.静的アプリケーションセキュリティテスト（SAST）ツールを使用して、ソースコードまたはコンパイル済みコードを解析してセキュリティ上の欠陥を見つける。6.ハッカーの攻撃を模倣するため、自動化されたブラックボックステスト技術として動的アプリケーションセキュリティテスト（DAST）を適用する。7.脅威のモデル化による脆弱性の発見とセキュリティ対策のギャップを修正。このように厳密かつ徹底的な自動化アプローチをセキュリティの設計およびテストに適用することで、ソフトウェアソリューションに不可欠な「脅威の特定及び排除」機能を確実に実装することができます。図 3 に示すとおり、コードの選択から分析、リリースからライフサイクル管理に至るまで、すべての段階がパイプライン上に網羅されています。また、コードの更新、パッチ適用、および通常の脆弱性テスト実行時に完全なセキュリティを維持するという、最善の成果を得るため、多くの場合、AI コンポーネントが使用されています。AI が更新スケジュールやデ