車載セキュリティを確保するHSMとTEEとは？

自動車技術が急速に発展している現在、販売されている多くの自動車にはECUという電子制御装置が搭載されています。ECUはElectronic Control Unitの略語で、エンジンやトランスミッション、ブレーキなどのコア部品制御だけではなく、エアコンやドアロック、カーステレオなどの制御にも用いられているほど、今や自動車に欠かせないものになりました。自動車の性能やドライバーの利便性を向上させるECUですが、不正アクセスの入口として悪用される可能性もあります。それに対応するため、自動車業界では様々な対策を講じてきましたが、この記事では業界で広く使われているHSM（Hardware security modules）とTEE（Trusted execution environments）について紹介および説明します。

カーエレクトロニクスの発展とサイバー脅威の増加

自動車はエコ・自動化・電動化など、いわばCASEを中心に技術が発展しています。電子制御されている車両部品は車内ネットワークでお互いに繋がっているため、通信が適切な対策により保護されてないと車両はサイバー脅威にさらされて、サイバー攻撃の対象になる可能性があります。インフォテインメントシステム、Wi-Fi など様々なルートを利用して侵入できます。サイバー攻撃で自動車がハッキングされるとナンバープレート、車両位置、EVの場合は決済情報まで奪取される可能性が高いです。また、制御係のECUまで侵入して自動車を遠隔で操ることもできますので、運転している人の意志とは関係なく、事故を起こらせることも考えられます。そのため、CASEを実現するために、解決すべき問題はサイバーセキュリティの構築です。これからの自動車はあらゆるサイバー攻撃に対してサイバーセキュリティ対策を講じておくことが何よりも重要だと言えます。

幸いなことに、1950年代から自動車のサイバーセキュリティに関する議論が行われており、22年7月から国際法規として発行されました。国際基準を順守するために、自動車業界で様々なセキュリティソリューションを導入しています。その中でも、多く利用しているセキュリティ対策はHSMです。

HSM(Hardware Security Module)とは？

ECUは車内ネットワーク通信で自動車制御を担うコア部品ですので、外部からの不正アクセスできないように保護する必要があります。特に車内ネットワーク通信データは暗号化されていないため、なりすましや改ざんのような悪意のある攻撃を受けやすいので、適切なセキュリティ対策が必要になります。この対策として用いられているのがHSMです。

HSMは欧州の先行研究であるEVITA（E-safety Vehicle Intrusion Protected Applications）プロジェクトによって策定されたハードウェア規格のことです。HSMは、ECUに外部からアクセスできない物理的な領域を割り当て、暗号化や復号化、鍵管理、認証などのセキュリティ作業を行います。物理的にHSMが盗まれない限り、サイバー攻撃でHSMで保管している暗号鍵を漏えいすることは非常に難しいため、安全に車内ネットワーク通信を利用することが可能になります。

また、EVITAでは各ECUに必要なセキュリティレベルを３段階（EVITA Full、EVITA Medium、EVITA Light）に分類して規定しています。分類基準はECUの機能及び通信対象によって違いますが、簡単に説明すると以下のようになります。

• EVITA Full：ヘッドユニットのように、ECCクリプトアクセラレータ（楕円曲線暗号）が必要な、V2X（車車間・路車間）通信するECUに適用するHSM
• EVITA Medium：エンジンやパワートレイン系ECUなど、 ECCクリプトアクセラレータ（楕円曲線暗号）が必要ではないECUに適用するHSM
• EVITA Light：センサー及びアクチュエータ向けECUに適用するHSM。FullとMediumに比べ低機能、低性能

HSMは自体プロセッサを持っているため、ECUにデータ処理の負担をかけずに、セキュリティ機能を果します。HSMの主な機能は、前述のように、車内ネットワーク通信でやり取りしているデータを保護することと暗号化です。場合によってはセキュアブート、セキュアアクセスなどの機能を実装することも可能です。このようなセキュリティ機能が認められ、自動車業界で広く使われるようになりましたが、まだ解決すべき課題は残っています。

HSMは、ECUに物理的な領域を割り当ててセキュリティ機能を埋め込む形ですので、埋め込む数量が多くなるとコスト負担が上がります。CASE実現のために、これからの自動車に搭載されるECU数は増えていくと予測されているため、コストをどれだけ抑えることができるかが課題だと言えます。

ECUの構造

これからの自動車はOTA技術を活用してディーラーに持ち込まなくても、車載ソフトウェアを更新できるようになると言われています。HSMはECUでハードウェア層にあり、ハードウェアに実装されるソフトウェアやアプリケーションの実行に合わせて設計されている可能性が高いです。ソフトウェアが変更され、新しい機能が追加されたとしても、ハードウェアを簡単に変更することは難しく、現実的ではないです。急変している自動車産業に対応するためには柔軟なアプローチが必要になります。

TEE（Trusted execution environments）とは？

柔軟なアプローチのために導入されているのがTEEです。TEEとはプロセッサに信頼可能な領域を設け、その場所に守るべきデータを保存及び処理することです。TEEは信頼可能な領域と信頼できない領域を分けて、両領域のデータ通信を制御することで別途のハードウェアを付け加えなくても、ソフトウェアのみで安全性を確保できるソフトウェア基盤のセキュリティです。ただ、信頼できる領域を確保するだけではTEEと言えません。セキュリティデジタルサービス及び装置の標準を定義している非営利団体Global Platformは以下のように、TEEの要件について定義しています。

• 信頼できない領域のOSとは独立に実行すること
• 他のTA（Trusted Application）とは隔離すること
• 信頼されたもののみ、TEEのOSとTAを修正できること
• ブートプロセスがSoC（System On Chip）にバインドされ、TEEファームウェアとTAの完全性と真正性を強制すること
• 信頼できるストレージを用意すること
• 周辺機器に安全にアクセスすること
• 最新の暗号化技術を使用すること
  ＊https://www.jstage.jst.go.jp/article/essfr/14/2/14_107/_pdf/-char/enから引用

TEEもHSＭのように、暗号化・復号化機能、鍵管理及び保管、認証などの機能を果します。機能としては似ているところが多いですが、セキュリティの実装及び実行では異なる部分があります。TEEは別途のプロセッサを必要としなく、ECUのプロセッサ上の隔離された信頼できる安全な実行環境を提供します。また、OS領域で独立した環境を実装することで、万が一の場合信頼できない環境（REE、Rich Execution Environment）やOSがサイバー攻撃の脅威にさらされても、TEE上で実行される処理や機密情報へのセキュリティ侵害を防ぐことができるため、拡張性が優れかつ、高セキュリティを両立させることが可能です。

最後に

コネクテッドカーの登場、自動車が電動化していくことにつれ、環境にやさしく、ドライバー側の利便性は高まっていますが、一方では外部からのサイバー攻撃を受けやすくなっているのも現実です。したがって、自動車業界ではサイバーセキュリティ構築に向けて本格的に対応しており、国際的な合意も行われ、これからはサイバーセキュリティが構築されていない自動車は生産・販売ができなくなる予定です。HSMとTEEは両方とも車載セキュリティに有効な手段です。実行方法と環境は違いますが、両方とも暗号・復号、鍵管理、認証などサイバー攻撃に対応するために必須と言われているセキュリティ機能を提供しています。このような車載セキュリティサービス及びソリューションを導入することで、CASE時代のクルマに求められる高いセキュリティ基準を満たすことができます。

弊社も車載セキュリティに必要なセキュリティサービスを提供しています。GlobalPlatformで定義したTEEの標準に沿い開発したAutoCrypt IVS-TEEは暗号・復号、認証機能を提供しており、ECUプロセッサ、OSに完全に隔離された信頼できる実行環境を提供します。また、開発者が使いやすいインタフェース提供や要求に合わせたセキュリティ機能の構築も可能です。詳しくはAutoCrypt IVS-TEEをご覧ください。