V2V、V2Iに潜むリスクをCERT C Cording Standardで守る

　さらに、インフラを含めた無線系では攻撃対象が拡大する。たとえば自動運転の基本技術にアドホックネットワークがある。相互接続された車両に構築される無線ネットワーク「VANET」（Vehicular Ad Hoc Network）で、車車間通信（V2V：Vehicle-to-Vehicle）や路車間通信（V2I：Vehicle-to-Infrastructure）を行うものだ。

　V2V、V2Iの通信では、多くのアプリケーションが利用できる。V2Vで自動車の衝突を回避したり、V2Iで音楽やビデオのダウンロードを行ったり、あるいは遠隔ソフトウェア更新なども行える。

「ほとんどの自動車ではソフトウェアの更新機能は搭載されていませんが、この技術が普及すれば、攻撃者が更新時に悪意あるコードを仕込んで、新しい危険が生まれるリスクがあります」

　安全性とセキュリティは一致する場合が多いが、両方を考えて妥協点をみつける必要がある。確率論で言えば、安全性はたとえば事故が0.5％の確率で起こり得るというような問題に帰結するが、セキュリティについては100％悪意のある攻撃者に対応しなければならない。

「CANバスには下位レベルのプロトコルが採用されており、本質的にセキュリティが配慮されていません。そこで相互に認証しあうアプリケーションのセキュリティの仕組みを実装し、アーキテクチャーも変更していく必要があります」

　とはいえ、自動車業界は部品のコストや重量、サイズ、レガシーとの統合、メモリの制約、プログラムの動作タイミング要件も考えなければならない。またサプライチェーンのコストを抑えるためには標準化も必要だ。技術面以外でも、サプライヤーが提供するコンポーネントはブラックボックス化されているという制約もある。

「そのためISO 26262では自動車向けに電気式／電子式／プログラム電子式の機能安全規格が用意されています。安全度水準としてASIL A-Dの4段階があり、規格にはソフトウェア開発のルールも述べられています。ただ残念なことに、これらは欠陥を除去するわけではなく、コードを読みにくくするものもあるため、セキュリティ的にはあまりよいルールではありません」

　そこで同氏の著作である「The CERT C Cording Standard」のセキュアコーディングやベストプラクティスにより、セキュリティとプライバシーを守ることができるわけだ。このコーディング標準は、ISO/IEC TS 17961と互換性を持つ2014年発表のC言語バージョン2.0をISO/IEC国際標準化するための作業部会などのコミュニティと共同で開発されている。ISO/IEC TS 17961は、C標準の要件より勝る静的解析ツールやC言語用コンパイラのような解析ツールに最低限の要件を定義している。したがって、ISO/IEC TS 17961に適合した解析ツールは最低限の適用範囲を保証していることになる。

　CERT C標準セキュアコーディングは、これに反する形でソースコードが評価されるようなルールの規範的な集合を定義する。CERT C標準コードはセキュリティに有効だが、コード適合の評価が必要だ。そのためにQA Cのような静的解析ツールを使用したSCALe適合試験の実施が必要となる。

「SBDとNCC Groupは、自動車システムの安全な開発と運用をサポートするために、Automotive Secure Development Lifecycle (ASDL)を共同で確立しました。今後、自動車の複雑性が増し、攻撃対象の範囲も拡大していきます。従来のようにネットワークから隔離されたプロセスも成立せず、実際に攻撃が行えることが実証されました。そこでECUを脆弱性から解放するために、セキュアコーディングが求められます。また公開認証基盤（PKI）が使用できれば、V2X（Vehicle-to-Everything）通信の安全性も確保できるようになるでしょう」