/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
株式会社デンソー
電子基盤システム開発部
セーフティ・セキュリティ技術開発室
室長 早川 浩史
Mar. 7, 2016
自動車部品メーカとしての
セーフティ&セキュリティの活動紹介
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
お伝えしたいこと
クルマを取り巻く環境変化
サービスの進展(コネクテッド、自動運転)と
クルマへの攻撃事例より、これまでのセーフティに加えて、
セキュリティ強化が急務な状況である
弊社の活動方針
会社の仕組み・基盤の継続的な強化の元で、安心・安全な製品を開発する
【仕組み】会社の構えを作り、PDCAを継続 (例)CSO, 規定、監査体制、SIRT, ISAC連携
【プロセス】製品の全ライフサイクル・サプライチェーンを踏まえて、既存プロセスを強化
【プロダクト】クルマの保護資産に適切な多層防御
製品開発の考え方
セキュリティレベルと効率化の両立のために、プラットフォームベース開発をする
プロセスに基づき対象システムを分析・要件定義し、対策・評価はプラットフォームから選択する
– プラットフォームの対象例:E/Eアーキテクチャ、通信、プリント基板、マイコン、ソフト
1
CSO: Chief Security Officer
SIRT: Security Incident Response Team
ISAC: Information Sharing and Analysis Centers
製品 開発 製品部署で
要件・設計・テスト
仕組み 基本方針、規定、情報管理、
アセスメント・監査、緊急対応体制、人材育成
基盤 プロセス、プロダクト(プラットフォーム)
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
目次
1. クルマをめぐるセキュリティの状況
2. デンソーのセキュリティコンセプト
3. デンソーの活動内容
4. まとめ
2
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
Distance Control
クルマの将来像 - Mobility Society Image
Anyone, Anytime, Anywhere : enjoy various services through network without any stress
ユビキタス社会
スマートグリッド ICTサービスの浸透
社会インフラ連携 自動運転
POI
Map
Route Calculation
…
Cloud
常時接続
ブロードバンド通信網 BATT
BATT
Monitoringsmart meter
BATT
BATT
Monitoringsmart meter
Smart Phone
Cellphone
Network Wi-Fi
V2I
V2V DSRC
Generation
Generation Transmission
PLC or Radio
Multi-modal Mobility
Transit Fee
Car Sharing
Park & Ride Crash Avoidance
Pedestrian Detection
Charging Station
Expected
Travel Distance
Operation &
Management
Center
Management
V2V: Vehicle to Vehicle communication
V2I: Vehicle to Infrastructure comm.
DSRC: Dedicated Short-Range Comm. PLC: Power Line Communication
Control Center
クルマはIoTの一部、社会インフラとのつながりによる新しいモビリティ社会に
3
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
クルマにおける脅威の状況
2012- 様々な攻撃事例報告
2011 リモートHacking
2010 車載LANのHacking
OBD,LAN経由で制御
ドイツ自動車協会
(ADAC)
source: Wired.com
EscarEU
「Comprehensive Experimental
Analyses of Automotive Attack Surfaces」
初期のテレマで実施
source: http://www.ipa.go.jp/files/000005475.pdf
「Experimental Security Analysis of a Modern Automobile」 source: http://www.ipa.go.jp/files/000005475.pdf
4
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
[参考]Jeepリコール
Jeepへの攻撃
車外からの遠隔攻撃により、走行中にワイパー動作やエンジンが停止した
攻撃シナリオ(仮説) ※北米セキュリティカンファレンスで発表
① 遠隔から通信機経由で対象車両に接続する
② 攻撃者がECUの管理者権限を取得
③ ECUのプログラムを改ざんする
④ 不正CANコマンドを対象ECUに送信する source: Wired.com @Jul. 2015
走曲止
管理者
権限 CAN
プログラム ECU ECU
プログラム
改ざん
携帯網
攻撃者
ボデー系
①
②
③ ④
攻撃対象ECU
インターネット
CAN経由で
不正コマンド送信
通信機
5
攻撃者:クルマを購入・解析後、周辺機器への制御コマンド送付に成功した
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
標準化動向
地域毎に標準化活動が徐々に進んでいる
TSL: Transport Layer Security AES: Advanced Encryption Standard SHA: Secure Hash Algorithm TCG: Trusted Computing Group
V2G: Vehicle-to-Grid VSG: Vehicle Station Gateway SHE: Secure Hardware Extension HSM: Hardware Security Module 6
2011 2012 2013 2014
TEVEES18 (Motor Vehicle Council, Electrical Systems Group)
(on-board secure comm. Security WP)
ISO 15118 PT5 (V2G)
Study group of embedded security in car
for Automotive
Process Product
HSM
Guide
Expected by DENSO
2015
ISO 13185(VSG)
Europe
JAPAN
USA
Standard
J3061
Thin Spec
2000 2005 2010
ISO/IEC 15408
ISO 27002
FIPS 140-2
TSL
AES、SHA-2
TCG
SAE: Society of Automotive Engineers TCG: Trusted Computing Group ACES: Automotive Consortium for Embedded Security
SHE
(700MHz band) Guideline (RC-009)
Information security committee JASO Technical Paper
Automotive Industry
IPA: Information-technology Promotion Agency JSAE: Society of Automotive Engineers in Japan JAMA: Japan Automotive Manufactures Association JASPAR: Japan Automotive Software Platform and Architecture JASO: Japanese Automotive Standards Organization SIP: Cross-ministerial Strategic Innovation Promotion Program
2016 2020 2018
IT Industry
Guideline WP29
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
北米動向 TEVEES18* 7
車向けセキュリティ開発プロセスのガイドライン(SAE J3061)がリリースされた@16年1月
コンセプトフェーズ 製品開発
Source: https://interact.gsa.gov/sites/default/files/J3061%20JP%20presentation.pdf
システムレベル
HWレベル SWレベル
* SAE Motor Vehicle Council, Electrical Systems Group
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
目次
1. クルマをめぐるセキュリティの状況
2. デンソーのセキュリティコンセプト
1. 対象定義
2. クルマへの想定攻撃
3. 対策方針
3. デンソーの活動内容
4. まとめ
8
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
課題 赤字:IT業界との違い
クルマのセキュリティの課題 V2V: Vehicle-to-Vehicle V2I: Vehicle-to-Infrastructure EVSE: Electric Vehicle Service Equipment DCM: Data Communication Module
LTE: Long Term Evolution BT: Bluetooth ITS: Intelligent Transport Systems PLC: Power Line Communication GW: Gateway
攻撃の進化 攻撃者の動機の多様化 セーフティ(人命)への影響
セキュリティ技術の進化 脆弱性対策 セーフティとセキュリティ
①保護対象資産が多岐にわたる(人命、プライバシ、財産)
②脅威とセキュリティコントロールとの適正なバランス
※長期間(例:15年以上)、低コスト・低リソース、高い性能要求
モビリティ社会@2020年
Smart Phone
車々・路車間通信 V2V
専用線 diagnosis
専用線 EVSE
車
・・・
・・・
・・・
パワトレ
シャシ
ボデー
ECU02
ECU21 ECU22
ECU11 ECU12
ITS
ECU01
車載GW
BT Wi-Fi
車内GW
車外GW
DCM
PLC
Data Center
Cloud
Bluetooth Wi-Fi
制御系
情報系
不正機器
取付け
人命
プライバシ
財産※
不正機器
取付け・改造・
事前解析
※ 課金、知的財産、車両盗難
保護対象資産 脅威
V2I
専用無線
(LTE)
盗聴・改ざん
なりすまし等
9
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
セキュリティ対応方針
クルマの特徴
情報系
変化の早い外との接続が必要
お客様のニーズから製品周期も短い
制御系
人命に関わる事故に至る可能性あり
既存対策(品質・安全)もある
Smart Phone
車々・路車間通信 V2V
専用線 diagnosis
専用線 EVSE
車
・・・
・・・
・・・
パワトレ
シャシ
ボデー
ECU02
ECU21 ECU22
ECU11 ECU12
ITS
ECU01
車載GW
BT Wi-Fi
車内GW
車外GW
DCM
PLC
Data Center
Cloud
Bluetooth Wi-Fi
制御系
情報系
V2I
専用無線
(LTE)
ナビ
セキュリティ
既存対策
(クルマの強み)
IT技術ベース
品質
セーフティ
情報系 制御系
• 情報と制御のアーキテクチャレベルの分離 • 品質・セーフティ機能の脆弱性の低減
セキュリティの考え方
情報系
IT標準技術を流用する
制御系
既存の車業界の考え方をベースに
不足分はIT標準技術を流用する
10
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
Secure Logging
Anomaly Detection
セキュリティコンセプト
Vehicle
攻撃者
Outside
考え方:保護資産毎に最適な既存資産を活用して多層防御する
人命
プライバシ
財産
Exte
rnal F
irew
all
Exte
rna
l Tra
nsa
ctio
n D
efe
nse
Exte
rnal E
CU
Defe
nse
IT技術の車載適用 In
tern
al G
W D
efe
nse
Inte
rnal T
ransactio
n D
efe
nse
Inte
rna
l Fire
wa
ll
Inte
rnal E
CU
Defe
nse
IT技術の車載改良
De
fen
se fo
r Safe
ty
Syste
m S
afe
ty
既存セーフティの強化
財産 (車両盗難)
• 財産、プライバシ : IT技術をベースに防御する
• 人命(セーフティ) : さらなるセーフティ強化とIT技術の融合で防御する
11
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
目次
1. クルマをめぐるセキュリティの状況
2. デンソーのセキュリティコンセプト
3. デンソーの活動内容
1. 活動概要
2. プロセス基盤
3. プロダクト基盤
4. まとめ
12
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
モビリティ社会@2020年
Smart Phone
車々・路車間通信 V2V
専用線 diagnosis
専用線 EVSE
車
・・・
・・・
・・・
パワトレ
シャシ
ボデー
ECU02
ECU21 ECU22
ECU11 ECU12
ITS
ECU01
車載GW
BT Wi-Fi
車内GW
車外GW
DCM
PLC
Data Center
Cloud
Bluetooth Wi-Fi
制御系
情報系
人命
プライバシ
財産 V2I
専用無線
(LTE)
セキュリティ活動概要
目的: 適正なセキュリティ製品をお客様にご提供し続けている
活動: モビリティ社会2020年を目指してセキュリティ共通基盤を開発し
製品試行により現場で使えるレベルにする
課題:
V2V: Vehicle-to-Vehicle V2I: Vehicle-to-Infrastructure EVSE: Electric Vehicle Service Equipment DCM: Data Communication Module LTE: Long Term Evolution BT: Bluetooth ITS: Intelligent Transport Systems PLC: Power Line Communication GW: Gateway
13
1. 対策方針 2. 技術開発
4. 会社ルール 5. 人材育成 3. 標準化
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
プロセス:
リスクレベルの定義と設計・評価基準
車業界の分散開発に合った役割分担
セーフティ(機能安全含む)との関係性
最終的にはISO化(state-of-the-art)
プロダクト:
想定脅威、対策レベルの相場形成
設計技術と評価技術の標準化
セキュリティ評価・テストベッド構築
活動内容
セキュアなモノづくりの仕組み 攻撃・脆弱性管理と セキュリティ機能更新の仕組み
情報共有: 日本版Auto-ISAC (OEM+サプライヤ領域)
機能更新:
クルマ版Scoring System
車業界での運用
更新の仕組み(Over The Airリプロ)
緊急対応の仕組み
OEM・サプライヤ間の既存の品質保証の
仕組みのセキュリティ拡張(個社)
インフラのインシデント対応方法(e.g.V2X)
出荷前 出荷後
①Development
③Incident Response
② Vulnerability Handling
今後、国・他業界も巻込んだ活動が必要 現在、車業界で活動中
ISAC: Information Sharing and Analysis Center 14
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
セキュリティ共通基盤
製品開発とセキュリティ開発との関係
製品開発部署は共通基盤から適切なプロセス、対策・評価を選択し適用する
①Development
製品開発
要件定義
E/Eシステム開発
E/Eコンポーネント開発
HW・SW設計
実装・テスト
開発プロセス
セキュリティ機能開発 セキュリティポリシ
セキュリティ要件定義
システム
セキュリティ仕様開発
コンポーネント(HW・SW)
セキュリティ仕様開発
セキュリティテスト
①プロセス セキュリティ開発プロセス
共通基盤
基本方針
テスト
基準
設計検証
基準
③評価 ②対策
対策・評価レベルの相場観
対策技術
実装技術
①プロセス ②対策基盤 ③評価基盤により、現場で使えるレベルにする
15
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
目次
1. クルマをめぐるセキュリティの状況
2. デンソーのセキュリティコンセプト
3. デンソーの活動内容
1. セキュリティ概要
2. プロセス基盤
2.1 量産適用の課題
3. プロダクト基盤
4. まとめ
16
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
セキュリティ開発プロセス
セキュリティ要件定義: 2段階の要件定義プロセス 財産・プライバシー系:クルマの保護資産(情報)を攻撃から守る
セーフティ系:クルマのハザードを引き起こす可能性のある要因を攻撃から守る
情報漏えい(例:走行履歴)
攻撃要因
分析(ATA)で
対策:認証、暗号化…
財産・プライバシ系の要件定義
ATA:Attack Tree Analysis
ハザード
アクチュエータC
対策:認証、改ざん検知、暗号化…
信号A センサB
要因分析
(FTA)で解析
要因
セーフティ系の要件定義
ATAで
解析
FTA:Fault Tree Analysis
車両開発のワークフロー定義 現状のクルマ業界の開発スタイル(分散・自工程完結)を考慮する
各工程(車両、システム、HW、SW)の役割・責任分担の明確化
以降、セーフティとセキュリティの関係について詳述する
17
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
spoofing
of ECU
Sensor Auth.
Tamper Proof
Sensor Auth.
Tamper Proof Secure Boot Actuator Auth.
Tamper Proof ECU Auth.
ECU
error
ECU
error detection
spoofing tamper spoofing tamper spoofing tamper
Security controls added on some modules
spoofing
of MCU tamper
Attack
セーフティ&セキュリティ
セキュリティ機能で
安全機能の脆弱性を低減する
セーフティを構成するデータや
機能の完全性と可用性を保護する
プロセス定義の着眼点
クルマは安全機能により、
クルマの安全性を担保する
セキュリティの攻撃は
クルマが危険な状態に至る要因の一つ
Unintended severe failure operation
COMMAND Failure INPUT Failure OUTPUT Failure
SA1 error Comparison with SA2
open
Command value
error SB1 error
Motor
error
Output F/B
detection
overcurrent … … short … RAM change …
Comparison with SB2 Self test
for MCU
…
… …
… …
Safety Mechanisms
主機能 e.q. LKA, ACC
安全機能(Safety Mechanism)
e.g. Driver Override
Existing
Existing
セキュリティ機能
• Access Control to DLC
• Domain Isolation of networks
• Authentication between ECUs or ECU-sensor
• Message Authentication of critical data
• Secure boot
e.g.
New
e.g. bus cut-off, fail op
Fault
Error
Failure
18
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
車業界の開発スタイル(分散、自工程完結)も考慮し、役割を明確化する
Concept
System Basic Design
Functional Basic Design
VA, FCR
HARA, Safety Goal
System Design Vul. Veri.
TARA, Security Goal
Safety Veri.
Function Design
SA, FSR
VA, TCR
SA, TSR
Vul. Veri. Safety Veri.
Hardware Design Vul. Veri. Safety Veri.
VA, HCR
SA, HSR HW Basic Design
Software Design
Vul. Veri. Safety Veri.
VA, SCR
SA, SSR SW Basic Design
Vul.
Test
HARA: Hazard Analysis and Risk Assessment TARA: Threat Analysis and Risk Assessment SA: Security Analysis Safety Veri.: Safety Verification VA: Vulnerability Analysis Vul. *: Vulnerability * V&V: Verification and Validation
*SR: * Safety Requirement *CR: * Cybersecurity Requirement F*R: Functional * Requirement T*R: Technical * Requirement H*R: Hardware * Requirement S*R: Software * Requirement
Safety
Test
Software V&V
Vul.
Test Safety
Test
Hardware V&V
Vul.
Test Safety
Test
System V&V
Vul.
Test Safety
Test
Vehicle V&V
HW
SW
System
ワークフロー
考え方: 安全機能の脆弱性を
セキュリティで低減する
Safety Analysis
Safety Requirement
Safety Verification
Safety Test
Safety (existing)
19
車両レベルの脅威・リスク 分析により、 クルマとしてのセキュリティ ゴール(SG)を定義する
システムレベル以降は、SGとセーフティ要件を 踏まえて詳細設計・テスト(脆弱性観点含む)する ※トレーサビリティ
セキュリティ検討の入力は安全機能
Security (new)
Vulnerability Analysis
Security Requirement
Vulnerability Verification
Vulnerability Test
Design
Test
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
主機能に対するハザードに対してセキュリティ要件を定義
V2V Communication
Vehicle in front
CACC
GPS
Speed
V2V V2V
Radar
CACC VLC
Engine
Brake
Acceleration
Acceleration Request Torque Radar (Distance)
ハザード: 意図しない急加速
安全状態: ブレーキオーバライド
最大加速度 = 0.x G
ASIL: x
セーフティゴール
脅威: 意図しない急加速(同一) セキュア状態: ブレーキオーバライド、最大化速度0.xG
セキュリティレベル X (検討中) 攻撃対象: 無線区間、 車載LAN、 センサ
セキュリティゴール
Brake Pedal
MaxG
uard
Speed
Sensors ECU Speed
Sensors Speed
Sensors Speed
Sensors CRC
Protocol
Security
SHE
Security
MAC
Security
20 CACCにおけるセキュリティ対応例 特定の車両システムは想定していません
CACC: Cooperative Adaptive Cruise Control
セーフティとセキュリティによりクルマを攻撃から守る
VLC: Vehicle Longitudinal Control
SHE: Secure Hardware Extension
MAC: Message Authentication Code
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
目次
1. クルマをめぐるセキュリティの状況
2. デンソーのセキュリティコンセプト
3. デンソーの活動内容
1. セキュリティ概要
2. プロセス基盤
2.1 量産適用の課題
3. プロダクト基盤
4. まとめ
21
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
車両C
車両B
車両A
量産適用の課題 と 考え方
既存資産の有効活用 と セキュリティ部署の下支え により実現する
課題① 品質・セーフティ・セキュリティの保証
品質
セーフティ
セキュリティ
品質
セーフティ レベル
既存製品 将来製品
既存
課題② 脆弱性管理、セキュリティ人材不足
既存製品・プロセスをベースに
セキュリティを強化する(再掲)
•車両開発前に標準アーキテクチャを開発する •品質・セーフティ設計後にセキュリティ対応する
セキュリティ
セーフティ システム 車両 HW
SW
システム 車両 HW SW
車両開発の流れ
標準 アーキテクチャ (セーフティ&
セキュリティ 対応済)
・・・
車両開発前
Concept
System Basic Design
Functional Basic Design
VA, FCR
HARA, Safety Goal
System DesignVul. Veri.
TARA,Security Goal
Safety Veri.
Function Design
SA, FSR
VA, TCR
SA, TSR
Vul. Veri.Safety Veri.
Hardware Design
Vul. Veri.Safety Veri.
VA, HCR
SA, HSRHW Basic Design
Software Design
Vul. Veri.Safety Veri.
VA, SCR
SA, SSR
SW Basic Design
Vul.
TestSafety
Test
Software V&V
Vul.
Test
Safety
Test
Hardware V&V
Vul.
TestSafety
Test
System V&V
Vul.
Test
Safety
Test
Vehicle V&V
HW
SW
System
現状の製品部署の工数増を最小限に留める
22
セキュリティ部署を新設し、 共通部分(次ページ参照)は恒久的に管理する
共通部分(特権機能)を利用した攻撃から
保護する要件
(アプリ非依存)
主機能の動作を
攻撃から保護
する要件
(アプリ依存)
要件
要件
製品部署
セキュリティ
部署
標準 部品
P47参照
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
特権機能
車両(適合)
システム(故障診断、リプロ)
ハードウェア(製造テスト、不良解析)
ソフトウェア(デバッグ)
アプリ非依存
既存
項目 定義 例 分類
主機能 お客様にご提供する機能 走曲止、高度運転支援、IVI アプリ依存
[補足]クルマの機能とセキュリティ対策
主機能
既存
車両
システム
ハードウェア
ソフトウェア
アプリ依存
既存
23
クルマの機能
Memory
Program
Data
MCU
Program
Data
通信端子(CAN等)
デバッグ/テスト端子
プログラム、データの読み出し、書き換え
ECU
JTAG
シリアル
ダイアグキャリブレーション
リプロ
JTAGイメージ
V2V Communication
V2V
Radar
CACCVLC Engine
Brake
Acceleration
Acceleration Request TorqueRadar (Distance)
Brake Pedal
MaxG
uard
Speed
Sensors ECUSpeed
SensorsSpeed
SensorsSpeed
SensorsCRC
Protocol
Security
SHE
Security
MAC
Security
セキュリティ機能 (例)ECU認証、改ざん検知、異常検知
製品部署が 分析・開発する
新規
プライバシ・財産系
セキュリティ
項目 定義 例 分類
主機能 お客様にご提供する機能 走曲止、高度運転支援、IVI アプリ依存
特権機能(共通部分) 品質保証や機能確証に必要な機能 デバッグ、リプロ、製造テスト アプリ非依存
安全機能 (安全関連システムの場合) (例)ドライバーオーバーライド
セーフティ系
セキュリティ機能
セキュリティ機能
セキュリティ機能
セキュリティ機能
新規
セキュリティ
セキュリティ部署が開発し 製品部署に提供する
主機能と特権機能を守ることが必要である
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
特権機能の概要
ECU内のプログラム、データに外部からアクセス可能な機能
Memory
Program
Data
MCU
Program
Data
通信端子
(CAN等)
デバッグ/テスト
端子
プログラム、データの読み出し、書き換え
ECU
JTAG
シリアル
ダイアグ
キャリブレーション
リプロ
JTAGイメージ
分類 機能 説明
マイコン/メモリ JTAG
マイコンのデバッグポート。CPUバスに接続でき、プログラムの実行や
メモリ読み出し、書き込みが可能
シリアル マイコンのFlashメモリに書き込みを行うI/F
通信端子
ダイアグ CANなどから内部の情報にアクセスするコマンド
キャリブレーション パラメータの書き換え。メモリのデータ書き込みが可能
リプログラミング プログラムの更新機能
JTAGイメージ source: http://www.tokudenkairo.co.jp/jtag/whatisjtag.html
24
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
ECU対策基準
不変的な脅威レベルを定義し、標準的なECU対策基準を作成済み
25
特権機能対策
SL1
脅威と対策のバランスが重要
SL2 SL3 SL4
世の中の規格を参考
ISO 15408:
FIPS140-2: 攻撃能力(脅威)でレベル分け
一般的なI/Fを
利用した攻撃
デバイスマニュアル参照
市販機器利用
高度な専門性
専門機器利用
想定できる
あらゆる攻撃 脅威
少し頑張れば
攻撃できる
攻撃にお金、
時間、知識が必要 最先端研究
脅威の 考え方
SLとECU対策基準とのひも付け
リプロ デバッグ 誰でも
攻撃できる
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
課題:セキュリティレベルと効率化とを両立する
コンセプト:セキュリティプラットフォーム*で製品を保証する
セキュリティプラットフォームの開発・保守はセキュリティ部署が実施する
セキュリティプラットフォーム
Vulnerability Analysis
Security Requirement
Security Specification
Security Implementation
Target Definition
Threat Analysis
Risk Assessment
Security Goal
Vulnerability
Verification
Vulnerability
Test
Vehicle, System, HW, SW
Security Product Development
Vul. Veri. Method
Vul. Test Method
Std. Vul. Test DB
Attack DB
Security Platform
Maintenance Development
Vulnerability DB
Attack DB
Vulnerability DB
* 十分に脆弱性を低減済み
(例:第3者評価)
Requirement Method
Threat &Risk Analysis
Security Manual
Security Design Rule Std. Design
DB
Attack DB
Security Platform
Development Maintenance
Vulnerability DB
Std. Spec. DB
Attack DB
Vulnerability DB
26
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
セキュリティ評価基盤
目的
セキュアな製品開発のためセキュリティ評価を強化
外部への説明責任
■ 他業界の標準スキーム
IT 業界
ISO/IEC 15408・18045(CC※1・CEM※2) ISO/IEC 19790・24759
(FIPS 140-2, FIPS 140-2 DTR) 制御システム
EDSA※3(IEC 62443)
■現在の評価プロセス
設計
設計レビュー
実装
コードチェック、コードレビュー
テスト
V&V テスト, 閾値テスト など
比較&分析
※1 Common Criteria
※2 Common Methodology for Information Technology Security Evaluation
※3 Embedded Device Security Assurance
既存の業界標準を 車両評価フローへ 取込む
セキュアなものづくりのための基盤を構築する
内容
妥当性チェックリスト、ツール
セキュリティ評価要件
脆弱性DB
攻撃DB
セキュリティ評価共通基盤
3. Security
requirement Check
(ex. FIPS140-2)
1. Adequacy
Check (CC, PCIDSS)
5. Secure Coding Check(ex. CERT C )
8. Security
Verification(ex. FIPS140 -2)
2. Anti
VulnerabilityCheck (CEM)
9. Security Validation
*RBG : Random BitGeneratorsCAVP :CRYPTOGRAPHIC
ALGORITHM VALIDATION PROGRAM
Public Source:
ISAC, CERT etc.
Vehicle
System
HW
SW
System Basic Design
Functional Basic Design
VA, FCR
H&R, Safety Goal
System DesignVul. Veri.
T&R,Security Goal
Safety Veri.
Function Design
SA, FSR
VA, TCR
SA, TSR
Vul. Veri.Safety Veri.
Hardware DesignVul. Veri.Safety Veri.
VA, HCR
SA, HSRHW Basic Design
Software Design
Vul. Veri.Safety Veri.
VA, SCR
SA, SSRSW Basic Design
Vul.
TestSafety
Test
Software V&V
Vul.
TestSafety
Test
Hardware V&V
Vul.
TestSafety
Test
System V&V
Vul.
TestSafety
Test
Vehicle V&V
* vehicle, system, HW and SW
6. C
AV
P*
7. R
BG
* Evalu
atio
n(A
IS 2
0)
4. Vulnerability
Analysis(CEM)
10. Vulnerability Test (CEM)
11. Penetration Test (CEM)
Vulnerability DB Attack DB
implementation
requirement
Design
Validation
Verification
27
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
目次
1. クルマをめぐるセキュリティの状況
2. デンソーのセキュリティコンセプト
3. デンソーの活動内容
1. セキュリティ概要
2. プロセス基盤
3. プロダクト基盤
4. まとめ
28
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
[再掲]セキュリティコンセプト
• 財産、プライバシ : IT技術をベースに防御する
• 人命(セーフティ) : さらなるセーフティ強化とIT技術の融合で防御する
29
Secure Logging
Anomaly Detection
Vehicle
攻撃者
Outside
考え方:保護資産毎に最適な既存資産を活用して多層防御する
人命
プライバシ
財産
Exte
rnal F
irew
all
Exte
rna
l Tra
nsa
ctio
n D
efe
nse
Exte
rnal E
CU
Defe
nse
IT技術の車載適用 In
tern
al G
W D
efe
nse
Inte
rnal T
ransactio
n D
efe
nse
Inte
rna
l Fire
wa
ll
Inte
rnal E
CU
Defe
nse
IT技術の車載改良
De
fen
se fo
r Safe
ty
Syste
m S
afe
ty
既存セーフティの強化
財産 (車両盗難)
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
核となる 技術領域
保護資産と出荷時期で整理
核となる技術領域
20年目線の安全関連(完全性の保証)
対策技術
攻撃前後で大分類し、
目的別に技術を整理する
外出時に 監視
※防犯カメラ・ センサ
• 侵入検知
• 侵入防御
技術領域の整理
安全
プライバシ
財産
20年目線 25年目線
地域見回りや警備 会社と契約する
※泥棒を近づけない
• ドメイン分離
• ECU対策
• ソフト対策
厳重な戸締り
※2重ロック、シャッター 番犬、金庫
• アクセス制御
• 機器認証
• 改ざん検知・暗号化
予防 検知 抑止
速やかに通報 ※不正利用防 止(各種カード)
• フェールセーフ
• 機能縮退
盗難保険
※再発行
• セキュリティパッチ
• OTAリプロ
• Fail Operational
通知 処置 回復
未然防止 事後対策
領域拡大
出荷時期
保護資産
30
以降、 20年目線のセキュリティアーキテクチャ を説明する
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
セキュリティアーキテクチャ
セキュリティアーキテクチャを定義の上、対策技術を開発/製品適用中
31
DCM: Data Communication Module V2X: Vehicle-to-X PLC: Power Line Communication
GW: Gateway H/U: Head Unit AT: Automatic Transmission
スマートフォン
V2X通信
専用線 診断ツール
充電
ステーション
シャシ
エアコン ドア
ステア ブレーキ
V2X
H/U
Bluetooth Wi-Fi
車載GW
DCM
PLC
データセンタ
クラウド
Bluetooth Wi-Fi
マルチメディア
ボデー
車両
レイヤ1 レイヤ4 レイヤ3
脅威
ADAS ADAS ロケータ
エンジン AT パワートレイン
… LTE
外部接続 GW 車載LAN ECU
レイヤ2
…
…
…
…
… 専用線
①抑止: 多層防御/ドメイン分離
セキュアハード実装
セキュアプログラミング ①抑止
セキュアストレージ
デジタル署名
暗号化
鍵管理
ECU認証
メッセージ認証 セキュアブート アクセス制御
(フィルタリング) 暗号化
アクセス制御
(認証、フィルタリング)
②予防
異常検知
セキュアロギング ③検知
リプログラミング(ツール、OTA) ④回復
DCM: Data Communication Module
V2X: Vehicle-to-X
PLC: Power Line Communication
GW: Gateway
H/U: Head Uni
ADAS: Advanced Driving Assistant System
AT: Automatic Transmission
ECU: Electronic Control Unit
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
まとめ
背景・動向
クルマがIoTの一部となりつつあり、サイバーセキュリティの重要性は高まっている
クルマがハッキング対象と認識されている
車業界でセキュリティの標準化にむけ、欧米からの提案などの動き
弊社の活動
【仕組み】車業界のセキュリティの確立を目指し、ライフサイクルとサプライチェーンを検討中
【セキュリティコンセプト】IT業界の多層防御の考え方をベースに車載特有の課題を解決中
【プロセス・プロダクト】車特有のセーフティ&セキュリティの関係性(ワークフロー)を定義し、
効率的なモノづくりのためにセキュリティ対策基盤、評価基盤の開発を推進中
今後の課題
グローバルかつ他業界を踏まえて、車業界の想定攻撃を定義する
クルマのリスク評価手法(≒ASILのセキュリティ版)を定め、各リスクレベルにおける
設計・評価レベルを策定する
車業界の「Development, Vulnerability Handling, Incident Response」の
仕組みを構築する
32
/ 32
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Confidential
©
Mar. 7, 2016 Safety and Cyber Security R&D Dept. Electronics Platform R&D Div.
Thank you for your attentions