連載「自動車のサイバーセキュリティ」第1回
コネクテッド、自動/自律運転などの新技術の搭載によって、自動車の概念が今までと大きく変わろうとしています。こうした背景のもと、2020年2月にサイバーセキュリティに関する新しい国際規格ISO/SAE 21434が発行され、さらに、2020年6月にUNECE WP29においてUN-R155/UN-R156 が全会一致で合意されました。
UN-R155/UN-R156の適合は2022年7月から必須となります。 適合に関する専門家へのご質問は、お気軽にお問い合わせください。 UN-R155/156関連のセミナを含む自動車の機能安全・サイバーセキュリティトレーニングコース 2024年度スケジュールはこちら |
複数のサイバーセキュリティの関連規則が存在しているため、誤解されがちですが、ISO/SAE 21434に適合することが、UN-R155/UN-R156 の車両のサイバーセキュリティおよびサイバーセキュリティ管理システム(CSMS)/ 車両のソフトウェアアップデートとソフトウェアアップデート管理システム(SUMS)認証取得に、はたして十分条件なのでしょうか?
これら新規則への対応が必要な担当者に向けて、自動車の安全/自動運転技術/コネクテッドカーのエキスパートが、複雑に絡み合う新しいサイバーセキュリティ関連規則の概要と関係性についてこれから4回にわたって、ひも解いていきます。
自動車業界を取り巻く状況
いま自動車業界では、高度運転支援システムのソフトウェア実装で、1億ステップを超える車両も出てきています。今後出てくる自動運転システムでは、制御ソフトウェアがさらに複雑化するため、Wired(有線)かOTA(over the air)でのソフトウェア更新が必要になり、サイバーセキュリティに注目が集まっています。
2020年6月に、サイバーセキュリティとソフトウェアのアップデートに関する2つの重要な国連規則(UNECE)がWP29で合意され、2021年1月にUN-R155 CSMSおよびUN-R156 SUMSとして発行されます。
この規則は、車のサイバーセキュリティ関連としては、初めての国連規則であり法規制としての拘束力があります。日本政府もこの規則に発行時点から適用する計画を示しています。またEUでは、UN-R155およびUN-R156ともに新型車両は2022年7月より、登録車両は2024年7月から適合が必須となります。
この認証を取得しなければ、EU・日本などの市場で車を販売・登録することができません。
従来の型式認証(Type Approval)とUNECE R155の違い
1.車両タイプ(型式)の要件(第5節)
2.サイバーセキュリティ管理システムの要件(第6節)
これらの要件については、型式認証(タイプアプルーバル)として認可当局(例:日本では国交省)またはテクニカルサービス(例:テュフ ラインランド)が検証しなければならないと規定されています。
UN-R155/UN-R156の認証については、従来の型式認証とは大きく異なる点があります。
一方UN-R155/UN-R156では、試験方法、合否基準が明記されていません。これはサイバーセキュリティの試験方法や判定基準の設定が簡単にはできないためです。例えば、ハッカーが車両やインフラに侵入するリスクをゼロにする方策がないことや、未知の脅威や脆弱性について判定基準を特定するのが困難だからです。
今後の更なる技術向上を考慮すると、永続的なリスク回避や低減策を確定することは難しく、その時点での最善策を適用していくことになります。この最善策の判定基準に対しては当局との合意が都度必要になります。このためのエビデンス(判定基準とその論拠、ワーストケースなど)を車両製造者が用意する必要があります。
UN-R155に適合するには
UN-R155に適合するためには少なくても以下の項目を実施する必要があります。
特に皆さんにお伝えしたいポイントは、車両型式の認証ではCSMS認証書の所持が最初の要求事項として記述されていますが、CSMSプロセス自体は一度認証を受けた後はプロセスが変わらなければ3年間有効であるということです。
ただし車両製造者は、少なくても年1回以上当局またはテクニカルサービスに対して、サイバー攻撃、脅威、脆弱性の監視と対応結果を報告することが義務づけられています。例えば、新たに認識されたサイバー攻撃に対してもサイバーセキュリティ軽減策が依然有効であること、新たな脅威や脆弱性に対して追加したアクションがある場合は、その内容を併せて報告しなければなりません。
また、車両型式認証では、電気・電子アーキテクチャと外部インターフェイス毎に型式を定義し認証を取得する必要があります。
UN-R156に適合するには
現代の自動車は、車両が搭載している車載ソフトウェアの更新において、OTA(Over The Air)技術を利用できるようになりました。UN-R156ではこれらすべてのソフトウェア更新が対象となるため、外部サーバーをはじめとしたインフラとの通信接続に関する安全性の検証が必要不可欠です。また、サイバーアタックに対応できるサイバーセキュリティのリスク低減策・対応策を実装する仕組みを構築することで、SUMS認証の取得が可能になります。
それでは、早速、UN-R156への適応が必要な場合に必須となるSUMSの法規要求についてひも解きます。
Software Update Management System(SUMS)ソフトウェアアップデートに関しての認定は、有効期間がCSMSと同様に3年です。型式認可に影響するソフトウェアの更新がある場合、必ずこの法規に従わないといけません。SUMSは、従来のソフトウェア更新ツールだけでなくOTA(over the air)無線技術での更新も含みます。
UN-R156の法規要求はUN-R155と同様2つあります。
1) SUMS認定:
ソフトウェア更新管理システム(SUMS)の適合認定に関わる要求
2) 型式認定:
車両型式適合認定に関わる要求
SUMSの適合認定に関しての3つのプロセスが重要です。
1) サイバーセキュリティ管理システム(CSMS)への適合:
CSMSを取得していない場合は、SUMSに関わるサイバーセキュリティプロセスの要求に適合が必要です。
2)ソフトウェアアップデートのプロセスへの適合:
品質管理プロセスの一部でもある、ソフトウェアを更新するプロセス要求への適合が必要です。
3) ソフトウェアの構成管理とRxSWIN:
ソフトウェアは構成管理(バージョン管理)が必須です。この構成管理としてソフトウェアバージョンだけでなく完全性確認データを用います。また構成管理を行うために、ソフトウェアのバージョンのかわりに RxSWINの使用を求めています。RxSWINとは、Regulation x に対する Software Identification Numberの略で、車載システムにインストールされる法規が要求するソフトウェアのバージョン(例:UN-R157の更新ソフトウェアはR157SWIN)を意味します。
RxSWINの利用は現段階ではUN-R157のみですが、今後拡大していくことが予想されます。
また、完全性確認データは、データのエラーや改ざんの検出目的で利用される比較対照データで、チェックサムやハッシュ値を利用します。この完全性確認データを付けなければなりません。
目前に控えたUN-R155/UN-R156の適用は、車両メーカーはじめサプライヤーの皆さんにとって、全社で取り組む重要事項です。テュフ ラインランドはお客様が実際に業務に落とし込む際に、どこから着手したらよいのか、従来のフローにどのように追加すればよいのかといった、さまざまな疑問や質問にお答えします。また、UN-R156関連として、SUMS適合支援サービスやオンサイトセミナーからサイバーセキュリティ関連の技術支援まで、お客様のご要望に応じた幅広いサービスを提供しています。
テュフ ラインランドは、そのほかにも型式認証のテクニカルサービスとして十分な実績を積んでいます。新技術を搭載する次世代自動車へのサイバーセキュリティに関する認証取得支援サービスの提供を通じ、「今」そして「これから」の自動車産業を支えます。
いよいよ次回は冒頭の質問「ISO/SAE 21434に適合することが、UN-R155/UN-R156のCSMS/SUMS認証取得に、はたして十分条件なのか?」の答えを導き出します。
本多 克三 (ほんだ かつみ) |
お問い合わせ:カスタマーサービス(TEL: 045-470-1850 E-Mail: info@jpn.tuv.com)
シリーズ 「自動車のサイバーセキュリティ」
第1回 : UN-R155 に適合するには
第2回 : はたしてISO/SAE 21434に適合することが、UN-R155/UN-R156 のCSMS/SUMS認証を取得するための十分条件なのか?
第3回 : ISO/SAE 21434とUN-R155のリスク軽減策で考慮すべき2つの重要点とは
最終回 : サイバーセキュリティの視点で読むUN-R157
番外編:UN-R155/UN-R156の準拠でやってはいけないことーWP29発行の解釈文書のトリセツ
更新日 : 6/14/2024