クルマとあけよう 未来の扉~~ クルマとあけよう 未来の扉~ 開催 福岡モーターショー実行委員会は、「福岡モーターショー2015~クルマとあけよう
30 つながるクルマのセーフティ セキュリティ · This information is the exclusive...
Transcript of 30 つながるクルマのセーフティ セキュリティ · This information is the exclusive...
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30 2015年8月6日
Confidential
つながるクルマのセーフティ&セキュリティ
Safety and Security for Connected Vehicles
株式会社デンソー
電子基盤技術統括部
DP-情報セキュリティ開発室
開発1課 課長
林 圭作
“つながる”ものづくりの競争力強化セミナin東海
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30 目次 1
1. イントロダクション
2. サイバーセキュリティの状況
3. デンソーのコンセプト
4. デンソーの活動内容
5. まとめ
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30 1.1 会社概要
1949年12月16日
(就業人員ベース)
設 立
資本金
売上高
営業利益
従業員数
(日本61、 北米28、欧州35、豪亜58、その他6)
連結子会社数
(日本13、北米4、欧州3、豪亜11、その他2)
持分法適用関連会社数
1,874 億円
188
35
連結
単独
4兆 3,088 億円
2兆 4,372 億円
連結
単独
3,551 億円
1,695 億円
146,714 名
38,493 名
連結
単独
2
/ 2015年3月31日現在 ※その他、非連結子会社が1社あります。 本社:愛知県刈谷市
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30
メータ カーナビ
吸気システム
インタークーラー
Instrument cluster
ロボット QRスキャナー
ETC・DCM
ミリ波レーダ
エンジン ECU LSI
オルタネータ スタータ
ハイブリッド車用部品
エアコンユニット コンプレッサ
エンジン冷却システム
ガソリンエンジンマネジメントシステム(EMS)
ディーゼルコモンレールシステム
エコキュート
EGRクーラー
後処理用製品
電子機器 パワトレイン機器 熱機器
情報通信・安全機器
電気機器
非自動車
センサ
1.2 デンソーの主要製品
様々なカーエレクトロニクス部品を提供
走行支援ECU
3
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30 1.3 2020年の目指す姿
今後10年の私たちの使命として取組む
負の影響を最小化
クルマの利便性・喜びを世界中の人々に届ける
地球環境の維持 安心・安全
正の価値を最大化
クルマが世界の人々に愛され続けるために
デンソーグループ 2020年長期方針 http://www.denso.co.jp/ja/aboutdenso/corporate/vision/
4
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30 1.4 情報通信 - 将来のユビキタス社会における車を取巻く環境
いつでも、どこでも、誰でも、ストレスなく、ネットワークから様々なサービスを享受
スマートグリッド、マイクログリッド
BATT
運用管理センター
BATT
発電
発電 送電 管理
モニタリング
PLC or 無線
スマートメータ
充電スポット
継続走行距離
電力マネジメント
ITサービス利用増加 POI
地図
経路計算
・・・
クラウド
常時接続
スマートフォン連携
クラウド活用
ユビキタス社会
付加価値は車載器からセンターへ
車室内操作表示系変化
•持ち込まれる情報機器の増加
•環境・情報の新たな情報
•操作・表示の氾濫
EV、PHVは電力・通信インフラの中で
電力貯蔵装置として利用される社会
PLC : Power Line Communication EV : Electric Vehicle PHV : Plug-in Hybrid Vehicle
5
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30 1.5 モビリティ社会の将来像
社会インフラとの連携による新しいモビリティ社会に
膨大なデータの
統合・解析・監視・管理
安全性
自動車メーカー、サプライヤー 家電 エネルギー、ユーティリティー 公的機関 電気通信 住宅建設 エンターテインメント、放送 金融サービス
V2V通信
カー・ シェアリング/ パーキング
出典:IBM IBV “Automotive 2020”
通信 GPS 次世代携帯電話 Wi-Fi/WiMAX
V2X
統合プラットフォーム
スマート・グリッド、 スマート・エネルギー
スマート・シティ、 スマート・トラフィック
バッテリー・ トレーサビリティー
住宅、エネルギー 渋滞課金・ 交通インフラ
「つながる」クルマ
グリーン・カー
新たなビジネス・モデル/サービス(業界間)
リアルタイム解析
遠隔診断
交通渋滞監視
ネットワーク・カスタマー・サポート
6
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30 1.6 クルマが外の世界とつながるときの課題認識
外の世界とのI/F定義 (スマホ連携、センタ連携)
車両走行情報の開示
車両情報PFの解放
・人命:セーフティとセキュリティ
・財産:車両盗難、制御情報
・プライバシー:個人情報、位置
・ライフサイクル:長期保証
・経路のセキュリティ
・新機器(スマホ等)への対応
外の世界、クラウド
クルマの中
・権利
・プライバシー
課題
クルマ
クラウド
スマホ
クルマ特有の難しさ
・情報セキュリティ、情報管理
・開示先管理
クルマの世界 車両ECU、車内LAN…
情報保護・プライバシー
クルマが外の世界とつながるとき、クルマのセキュリティ確保が重要になってくる
センタ
7
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30 目次 8
1. イントロダクション
2. サイバーセキュリティの状況
3. デンソーのコンセプト
4. デンソーの活動内容
5. まとめ
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30
2012~ 様々な攻撃事例報告
2.1 クルマにおける脅威の状況 1/2
2011 リモートHacking
2010 車載LANのHacking
LAN経由で制御
「Experimental Security Analysis of a Modern Automobile」
「Comprehensive Experimental
Analyses of Automotive Attack Surfaces」
初期のテレマ対象で実施
ドイツ自動車協会
(ADAC)
9
出展:Wired.com
EscarEU
出展:http://www.ipa.go.jp/files/000005475.pdf 出展:http://www.ipa.go.jp/files/000005475.pdf
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30 2.1 クルマにおける脅威の状況 2/2
クルマはハッキング対象として認知され、即座の対応が必要
10
出典:defcon.org
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30
NWIP: New Work Item Proposal ISAC: Information Sharing and Analysis Center OTA: Over The Air
ユーザ懸念の拡大、法規・規格化の動き加速
2.2 セキュリティ最新動向
http://energycommerce.house.gov/letter/letters-nhtsa-and-automobile-manufacturers-regarding-auto-cybersecurity
http://www.law360.com/articles/629544/ford-gm-toyota-slammed-with-suit-over-hacking-risks
ハッキング可能な脆弱な状態で販売
責任者
会社ルール
出荷後の脆弱性修正
OTAリプロ
(米下院Energy & Commerce)
11
外部攻撃防御
ペネトレーション評価の実施
リアルタイム攻撃検知、対策
http://www.markey.senate.gov/news/press-releases/sens-markey-blumenthal-introduce-legislation-to-protect-drivers-from-auto-security-privacy-risks-with-standards-and-cyber-dashboard-rating-system
国連法規WP29
14 15 16 17 18 19 20
プライバシ保護
セキュリティ概案提出▲
▲北米Consumer Privacy Protection Principles
開発プロセス
情報共有ISAC 北米趣意書▲
ユーザ・米政府 自動運転▲ 研究RFQ(NHTSA) ▲17OEMに構えの質問状②
(米下院Energy & Commerce)
項目
規格
法規
業界 底上 げ
自動運転
▲EU Privacy Regulation
▲ ガイドライン
SAE J3061▲(予想)
▲セキュリティ・プライバシ対策法案③(米議会) ▲法規(予) 義務化▲(予) 北米
▲17OEMに構えの質問状(米下院Energy & Commerce)
▲セキュリティ・プライバシ対策法案(米議会)
▲クルマの脆弱性訴訟①
▲クルマの脆弱性訴訟
セキュリティ対策済表示
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30 2.3 クルマの標準化動向
地域毎ではあるが、標準化活動が活発になってきた
Process Product expected by DENSO
TSL: Transport Layer Security AES: Advanced Encryption Standard SHA: Secure Hash Algorithm TCG: Trusted Computing Group
V2G: Vehicle-to-Grid VSG: Vehicle Station Gateway SHE: Secure Hardware Extension HSM: Hardware Security Module 12
2011 2012 2013 2014
TEVEES18 (Motor Vehicle Council, Electrical Systems Group)
(on-board secure comm. Security WP)
ISO 15118 PT5 (V2G)
Study group of embedded security in car
for Automotive
HSM
Guide
2015
ISO 13185(VSG)
Europe
JAPAN
USA
Standard
J3061
Thin Spec
2000 2005 2010
ISO/IEC 15408
ISO 27002
FIPS 140-2
TSL
AES、SHA-2
TCG
IT 業界
SAE: Society of Automotive Engineers TCG: Trusted Computing Group ACES: Automotive Consortium for Embedded Security
SHE
IPA: Information-technology Promotion Agency JSAE: Society of Automotive Engineers in Japan JAMA: Japan Automotive Manufactures Association JASPAR: Japan Automotive Software Platform and Architecture JASO: Japanese Automotive Standards Organization
(700MHz band) Guideline (RC-009)
Information security subcommittee JASO Technical Paper
自動車業界
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30 2.4 国内標準化の動向
source: Automotive World 2015 @Jan. 2014
自動車業界として、3団体で役割分担をして活動中
13
DENSO DENSO
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30 目次 14
1. イントロダクション
2. サイバーセキュリティの状況
3. デンソーのコンセプト
4. デンソーの活動内容
5. まとめ
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30 3.1 セキュリティの課題
V2V: Vehicle-to-Vehicle V2I: Vehicle-to-Infrastructure EVSE: Electric Vehicle Service Equipment DCM: Data Communication Module
LTE: Long Term Evolution BT: Bluetooth ITS: Intelligent Transport Systems PLC: Power Line Communication GW: Gateway 15
攻撃の進化 攻撃者の動機の多様化 セーフティへの影響
セキュリティ技術の進化 脆弱性対策
① 保護対象資産が多岐に渡る(人命、プライバシ、財産)
② 脅威とセキュリティコントロールとの適正なバランス ※長期間(例:15年以上)
課題 赤字:IT業界との違い
モビリティ社会@2020年
Smart Phone
車々・路車間通信 V2V
専用線 diagnosis
専用線 EVSE
車
・・・
・・・
・・・
パワトレ
シャシ
ボデー
ECU02
ECU21 ECU22
ECU11 ECU12
ITS
ECU01
車載GW
BT Wi-Fi
車内GW
車外GW
DCM
PLC
Data Center
Cloud
Bluetooth Wi-Fi
制御系
情報系
不正機器
取付け
人命
プライバシ
財産※
不正機器
取付け・改造
※ 課金、知的財産、
車両盗難
保護対象資産 脅威
V2I
専用無線
(LTE)
盗聴・改ざん
なりすまし等
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30 3.2 セキュリティ活動方針
クルマの特徴
情報系
変化の早い外との接続が必要
お客様のニーズから製品周期も短い
制御系
人命に関わる事故に至る可能性あり
既存対策(品質・安全)もある
セキュリティの考え方
情報系
IT標準技術を流用する
制御系
既存の車業界の考え方をベースに
不足分はIT標準技術を流用する
16
Smart Phone
車々・路車間通信 V2V
専用線 diagnosis
専用線 EVSE
車
・・・
・・・
・・・
パワトレ
シャシ
ボデー
ECU02
ECU21 ECU22
ECU11 ECU12
ITS
ECU01
車載GW
BT Wi-Fi
車内GW
車外GW
DCM
PLC
Data Center
Cloud
Bluetooth Wi-Fi
制御系
情報系
V2I
専用無線
(LTE)
ナビ
セキュリティ
既存対策
(クルマの強み)
IT技術ベース
品質
セーフティ
情報系 制御系
• 情報と制御のアーキテクチャレベルの分離
• 品質・セーフティ機能の脆弱性の低減
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30
Secure Logging
Anomaly Detection
3.3 セキュリティコンセプト 17
Vehicle
攻撃者
Outside
考え方: 保護資産毎に最適な既存資産を活用して多層防御する
人命
プライバシ
財産
Exte
rnal F
irew
all
Exte
rna
l Tra
nsa
ctio
n D
efe
nse
Exte
rnal E
CU
Defe
nse
IT技術の車載適用 In
tern
al G
W D
efe
nse
Inte
rnal T
ransactio
n D
efe
nse
Inte
rna
l Fire
wa
ll
Inte
rnal E
CU
Defe
nse
IT技術の車載改良
Defe
nse fo
r Safe
ty
Syste
m S
afe
ty
既存セーフティの強化
財産 (車両盗難)
• 財産、プライバシー : IT技術をベースに防御する
• 人命(セーフティ) : さらなるセーフティ強化とIT技術の融合で防御する
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30 目次 18
1. イントロダクション
2. サイバーセキュリティの状況
3. デンソーのコンセプト
4. デンソーの活動内容
5. まとめ
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30 4.1 セキュリティ活動概要
目的: 適正なセキュリティ製品をお客様にご提供し続けている
活動: モビリティ社会2020年を目指してセキュリティ共通基盤を開発し
製品試行により現場で使えるレベルにする
課題:
V2V: Vehicle-to-Vehicle V2I: Vehicle-to-Infrastructure EVSE: Electric Vehicle Service Equipment DCM: Data Communication Module LTE: Long Term Evolution BT: Bluetooth ITS: Intelligent Transport Systems PLC: Power Line Communication GW: Gateway
19
専用無線
(LTE)
Smart Phone
V2I
車々・路車間通信 V2V
専用線 diagnosis
専用線 EVSE
クルマ
・・・
・・・
・・・
情報系
パワトレ
シャシ
ボデー系
ECU02
ECU21 ECU22
ECU11 ECU12
モビリティ社会@2020年
ITS
ECU01
車載GW
BT Wi-Fi
車内GW
車外GW
DCM
PLC
Data Center
Cloud
Bluetooth Wi-Fi
全体最適な全社標準
セキュリティ要件定義
1. 対策方針 非競争/競争技術の開発
とIT技術の車載適用
2. 技術開発
既存のセキュリティポリシとの
整合と製品活動の規定化
4. 会社ルール セキュリティ製品
開発教育
5. 人材育成 標準化戦略と
市場・業界動向の把握
3. 標準化
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30
要件:会社の仕組みとして①~③を管理していること
出荷前に相場に合った製品企画・
開発・製造をしていること
出荷後の脆弱性を
(a)把握・(b)製品インパクト判断・
(c)アップデートにより、 適正な
セキュリティレベルを維持していること
インシデント発生時は
速やかに対応すること
4.2 セキュリティ活動の要件定義
課題
①Development
③ Incident
Response
② Vulnerability
Handling
1. 対策方針
2. 技術開発
3. 標準化活動
4. 会社ルール
5. 人材育成
・・・
評価技術
セキュリティポリシ
セキュリティ分析
要件・仕様
設計・評価
セキュリティ機能活用
保守(リプロ含む)
サービス・運用
脅威/リスク
鍵廃棄
機能停止
・・・ セキュリティコスト
・・・
インシデント管理
対策技術
企画 開発 廃棄 運用
①Development ② Vulnerability Handling
③ Incident Response
20
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30
プロセス:
リスクレベルの定義と設計・評価基準
車業界の分散開発に合った役割分担の明確化
機能安全との関係性の明確化
最終的にはISO化(state-of-the-art)
プロダクト:
想定脅威、対策レベルの相場形成
設計技術と評価技術の標準化
脆弱性評価の仕組み
4.3 活動内容 21
セキュアなモノづくりの仕組み 攻撃・脆弱性管理と セキュリティ機能更新の仕組み
情報共有: 日本版Auto-ISAC (OEM+サプライヤ領域)
機能更新:
クルマ版Scoring System
車業界での運用
更新の仕組み(Over The Airリプロ)
緊急対応の仕組み
OEM・サプライヤ間の既存の品質保証の
仕組みのセキュリティ拡張(個社)
インフラのインシデント対応方法(e.g.V2X)
出荷前 出荷後
①Development
③Incident
Response
② Vulnerability Handling
今後、国・他業界も巻込んだ活動が必要 現在、車業界で活動中
ISAC: Information Sharing and Analysis Center
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30
製品開発とセキュリティ開発との関係 セキュリティ開発における①プロセスを現場で使えるレベルにするために、
②対策基盤と③評価基盤を構築する
4.4 セキュリティ共通基盤 22
①Development
セキュリティ開発 製品開発
テスト 基準
設計検証 基準
③評価 ②対策
セキュリティポリシ
車業界の基本方針
要件定義
E/Eシステム開発
E/Eコンポーネント開発
HW・SW設計
実装・テスト
セキュリティ要件定義
システム
セキュリティ仕様開発
コンポーネント(HW・SW)
セキュリティ仕様開発
セキュリティテスト
対策・評価レベルの相場観
①プロセス セキュリティ開発プロセス
対策技術
実装技術
共通基盤
開発プロセス
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30
セキュリティ開発プロセス
4.5 セキュリティ開発プロセス
ハザード
アクチュエータC
対策:認証、暗号化、冗長化・・・
信号線A センサB
要因分析(FTA)で解析
守りたいもの
セーフティ系の要件定義
情報Aなどクルマの中の守りたい資産を守る
情報Aを守る
攻撃要因分析(ATA)で
■セキュリティ要件定義 … 2つの要件定義プロセス ・守りたい資産を元にセキュリティ対策を考える財産・プライバシー系 ・クルマのセーフティに関わる避けるべき事象:ハザードに至らないように考えるセーフティ系
■ワークフロー定義 ・現状のクルマ業界の開発スタイル(分散・自工程完結)を考慮 →各工程(車両、システム、HW、SW)の役割・責任分担を明確化
対策:認証、暗号化…
財産・プライバシ-系の要件定義
23
セキュリティの攻撃からセーフティを守る
以降、セーフティとセキュリティの関係ついて詳述する
ATA:Attack Tree Analysis ATAで 解析
FTA:Failure Tree Analysis
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30 4.6 セーフティ&セキュリティ 24
セキュリティ機能で
安全機能の脆弱性を低減する
機能安全を構成するデータや機能
の完全性と可用性を保護する
プロセス定義の着眼点
クルマは安全機能により、
クルマの安全性を担保する
セキュリティの攻撃は
クルマが危険な状態に至る要因の一つ
Unintended severe failure operation
COMMAND Failure INPUT Failure OUTPUT Failure
SA1 error Comparison with SA2
open
Command value
error SB1 error
Motor
error
Output F/B
detection
overcurrent … … short … RAM change …
Comparison with SB2 Self test
for MCU
…
… …
… …
Safety Mechanisms
主機能 e.q. LKA, ACC
安全機能(Safety Mechanism)
e.g. Driver Override
Existing
Existing
セキュリティ機能
• Access Control to DLC
• Domain Isolation of networks
• Authentication between ECUs or ECU-sensor
• Message Authentication of critical data
• Secure boot
e.g.
New
e.g. bus cut-off, fail op
spoofing
of ECU
Sensor Auth.
Tamper Proof
Sensor Auth.
Tamper Proof Secure Boot Actuator Auth.
Tamper Proof ECU Auth.
ECU
error
ECU
error detection
spoofing tamper spoofing tamper spoofing tamper
Security controls added on some modules
spoofing
of MCU tamper
Attack Fault
Error
Failure
セキュリティ開発プロセス
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30
Vehicle
System Basic Design
Functional Basic Design
VA, FCR
HARA, Safety Goal
System Design Vul. Veri.
TARA, Security Goal
Safety Veri.
Function Design
SA, FSR
VA, TCR
SA, TSR
Vul. Veri. Safety Veri.
Hardware Design Vul. Veri. Safety Veri.
VA, HCR
SA, HSR HW Basic Design
Software Design
Vul. Veri. Safety Veri.
VA, SCR
SA, SSR SW Basic Design
Vul.
Test
ワークフローのたたき台を完成し、製品検証中
HARA: Hazard Analysis and Risk Assessment TARA: Threat Analysis and Risk Assessment SA: Security Analysis Safety Veri.: Safety Verification VA: Vulnerability Analysis Vul. *: Vulnerability * V&V: Verification and Validation
*SR: * Safety Requirement *CR: * Cybersecurity Requirement F*R: Functional * Requirement T*R: Technical * Requirement H*R: Hardware * Requirement S*R: Software * Requirement
Safety
Test
Software V&V
Vul.
Test Safety
Test
Hardware V&V
Vul.
Test Safety
Test
System V&V
Vul.
Test Safety
Test
Vehicle V&V
HW
SW
System
4.7 ワークフロー
考え方: 安全機能の脆弱性を
セキュリティで低減する
Safety Analysis
Safety Requirement
Safety Verification
Safety Test
Security (new) Safety (existing)
Vulnerability Analysis
Security Requirement
Design
Test
Vulnerability Verification
Vulnerability Test
25
車両レベルの脅威・リスク 分析により、 クルマとしてのセキュリティ ゴール(SG)を定義する
システムレベル以降は、SGとセーフティ要件を 踏まえて詳細設計・テスト(脆弱性観点含む)する ※トレーサビリティ
25
セキュリティ検討の入力は安全機能
プロセス共通基盤 セキュリティ開発プロセス
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30 4.8 セキュリティ対策 26
クルマの機能とセキュリティ対策
主機能
セキュリティ機能 (例)ECU認証、改ざん検知、異常検知
既存
副次機能
セキュリティ機能 車両
システム
ハードウェア
ソフトウェア
車両(適合)
システム(故障診断、リプロ)
ハードウェア(製造テスト、不良解析)
ソフトウェア(デバッグ)
セキュリティ機能
セキュリティ機能
セキュリティ機能
アプリ依存 アプリ非依存 既存
新規
クルマの機能
セキュリティ
セキュリティ統括部署が開発し、 製品部署に提供する
主機能と副次機能を守ることが必要
項目 定義 例 分類 主機能 お客様にご提供する機能 走曲止、高度運転支援、IVI アプリ依存 副次機能 品質保証や機能確証に必要な機能 デバッグ、リプロ、製造テスト アプリ非依存
製品部署が 開発する
安全機能 (安全関連システムの場合) (例)ドライバーオーバーライド
既存
セーフティ系
新規
財産・プライバシ系
セキュリティ
対策共通基盤
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30
■ 他業界の標準スキーム IT 業界
ISO/IEC 15408・18045 (CC※1・CEM※2) ISO/IEC 19790・24759 (FIPS 140-2 ,FIPS 140-2 DTR)
制御システム EDSA※3(IEC 62443)
4.9 セキュリティ評価基盤
• セキュアな製品開発のためセキュリティ評価を強化 • 外部への説明責任
■現在の評価プロセス 設計 設計レビュー
実装 コードチェック、コードレビュー
テスト V&V テスト, 閾値テスト など
比較&分析
※1 Common Criteria ※2 Common Methodology for Information Technology Security Evaluation ※3 Embedded Device Security Assurance
内容 妥当性チェックリスト、ツール セキュリティ評価要件 脆弱性DB 攻撃DB
セキュリティ評価共通基盤
セキュアなものづくりのための基盤を構築
27
評価共通基盤
既存の業界標準を 車両評価フローへ 取り入れ
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30 [再掲]セキュリティコンセプト 28
Secure Logging
Anomaly Detection
Vechicle
Attacker
Outside
考え方: 保護資産毎に最適な既存資産を活用して多層防御する
人命
プライバシ
財産
Exte
rnal F
irew
all
Exte
rna
l Tra
nsa
ctio
n D
efe
nse
Exte
rnal E
CU
Defe
nse
IT技術の車載適用 In
tern
al G
W D
efe
nse
Inte
rnal T
ransactio
n D
efe
nse
Inte
rna
l Fire
wa
ll
Inte
rnal E
CU
Defe
nse
IT技術の車載改良
Defe
nse fo
r Safe
ty
Syste
m S
afe
ty
既存セーフティの強化
財産 (車両盗難)
• 財産、プライバシー : IT技術をベースに防御する
• 人命(セーフティ) : さらなるセーフティ強化とIT技術の融合で防御する
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30 4.10 つながるクルマのセキュリティアーキテクチャ
①セキュリティ開発プロセス ②対策基盤 ③評価基盤
Chassis
A/C Door
EPS Brake
G
W
Body
ADAS ADAS Radar
ENG AT Powertrain
…
…
…
…
Multimedia H/U 情報系 .…
Smartphone
Diagnosis
EVSE
ITS
BT Wi-Fi
DCM
PLC
Data Center
V2V V2I
制御系
Layer 1 Layer 4 Layer 3 Layer 2
Threats
セキュリティーアーキのポイント
層別・ドメイン別の防御
短中期対策: 外部接続・ECU対策、メッセージ認証、鍵管理(出荷時)、ISAC連携
長期対策 : 鍵管理(運用時)、セキュリティ対策配布 , 異常検知、ロギング
ISAC: Information and Sharing Analysis Center
アーキテクチャを定義し、対策技術を開発/適応中
29
外部接続 GW 車載LAN ECU
電子署名
暗号化
鍵管理
異常検知
ECU 認証
ロギング
セキュアリプロ
セキュアストレージ
メッセージ認証
セキュアブート
アクセス制御
暗号化
アクセス制御
HW/SW保護
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30 5. まとめ
背景・動向
クルマがIoTの一部となりつつあり、サイバーセキュリティの重要性は高まっている
クルマがハッキング対象となり、即時の対策が必要
車業界でセキュリティの標準化にむけ、欧米からの提案などの動き
弊社の活動
【仕組み】車業界のセキュリティの確立を目指し、ライフサイクルとサプライチェーンを検討中
【セキュリティコンセプト】IT業界の多層防御の考え方をベースに車載特有の課題を解決中
【プロセス・プロダクト】車特有のセーフティ&セキュリティの関係性(ワークフロー)を定義し、
効率的なモノづくりのためにセキュリティ対策基盤、評価基盤の開発を推進中
今後の課題
グローバルかつ他業界を踏まえて、車業界の想定攻撃を定義する
クルマのリスク評価手法(≒ASILのセキュリティ版)を定め、
各リスクレベルにおける設計・評価レベルを策定する
車業界の「Development, Vulnerability Handling, Incident Response」の
仕組みを構築する
30
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Aug. 6, 2015 DP-Cyber Security R&D Dept. Confidential
/30
Thank you for your attentions
31 31 31