近年「自動車のIoT化」や「自動運転」に代表されるように、いわゆる「モビリティ社会」の実現へ向けた動きが世界規模で活発化しています。例えば日本では、2030年までに完全自動運転車（レベル5相当）の実用化を目指していますし、電気自動車や自動車のIoT化に関する技術発展も顕著です。これに、Uberを始めとする「シェアリングエコノミー」拡大の波が重なることで、自動車の所有や運転から解放される新たな世界の到来が、すぐそこまで近づいてきています。このように、自動車業界が「100年に１度」ともいわれる技術的大変革期を迎える中、それに伴い、最も深刻な課題として日夜議論され続けているテーマが「自動車セキュリティ」です。

そこで本記事では、自動車の技術的大変革がもたらす未来と、自動車サイバーセキュリティ対策の必要性について詳しく解説していきます。

自動車の未来とサイバーセキュリティの必要性

自動車の技術的進歩がもたらす未来を知るにあたり、まず触れておきたいのが「CASE」という概念です。CASEは、自動車がネットワークにつながり（Connected）、完全自動化し（Autonomous）、シェアされ（Shared and Services）、電動化する（Electric）という4つの概念・技術課題のことを意味する造語です。

CASEが実現することでまったく新しい「モビリティ社会」が訪れることは間違いありませんが、そのためには自動車の「サイバーセキュリティ対策」が欠かせません。本章では、現状のCASEが抱えているセキュリティ課題について解説していきます。

Connected（ネットワークへの接続）

車はネットワークにつながることで単なる「移動手段」ではなく、人の暮らしをあらゆる側面からサポートする「走るITデバイス」として進化し、これまでにない新たなサービス体験をもたらします。しかし一方で、車がネットにつながることにより、ネットから車へ攻撃されるリスクが生じることも事実です。以降で紹介するCASEのセキュリティ課題のほぼすべての共通点は「ネットから侵入され攻撃される」ことであり、つまり「Connected」こそがあらゆる攻撃の起点となってしまうのです。

例えば、車がリモートで攻撃され車両の操作権を奪われたり、車に保存されている個人情報が流出するなどのケースは十分に考えられます。事実として、これまでに「コネクテッドカー※」として販売された高級車においては、すでに複数のハッキング攻撃事例が報告されているのです。

• 2020年1月、MobieyeとテスラのADASおよびオートパイロットシステムが欺かれ、ブレーキをリモートで操作されて対向車線に侵入。
• 2020年8月、ハッカーがサーバ側の脆弱性を突いてテスラ製コネクテッドカーの車両全体の制御権を奪うことに成功。

Autonomous（自動運転）

自動運転を実現するには、自動運転システムが直接外部と通信を行い、各種道路交通情報や車載センサー等のデータを相互的にやり取りする必要があります。この際の通信相手は、各種ソフトウェア開発事業者、運行管理システム提供者、車車間通信（V2V）、路車間通信（V2I）など多岐にわたりますが、それはすなわち、同じ数だけの侵入経路が存在するということと同義です。

また、自動運転技術に欠かせない「機械学習」や「深層学習」に基づくAI技術に対する攻撃にも警戒が必要です。「学習済みモデル」を改ざんしたり、AIを欺くようなデータを送り付け誤検知を誘発するなど、実証されている攻撃方法はすでに多数報告されています。

このように、自動運転は革新的な技術ゆえに、その実現には膨大かつ複雑なシステムの実装・連携が欠かせませんが、複雑であればあるほど「脆弱性」が生まれる確率は高まります。最新の旅客機を動かすプログラムコード（1500万行）の20倍のコ―ドが必要とされる自動運転車を安全に提供するためには、より多面的・多層的で、他のどんなIoTよりも強固なセキュリティ対策が求められます。

Shared and Services（シェアリングとサービス）

2016年9月に行われた「パリモーターショー2016」にて、CASEの概念を世界に初めて発表した自動車大手メルセデス・ベンツ社は、今後10年でカーシェアリングビジネスがモビリティ社会を支配すると予想しました。

従来、車とは「個人所有」が当たり前であり、自分の車（特に車内）にアクセスできるのは所有者だけでした。よって「車内に侵入されたこと」を前提にした対策はなされず、そもそもその必要性すらありませんでした。しかし、上述の予想が正しいとすれば、CASEの実現によって車は「所有するもの」から「借りるもの/利用するもの」へと変わり、私たちは、過去に誰が接触しどんな細工をしたかも分からない車を日常的に利用する事になるのです。その違和感に気づかないまま。

こういった車両改造等のリスクを防ぐためには、自動車メーカー・サプライヤーの努力だけでは不十分であり、シェアリングサービスを提供する民間企業と行政間での密な連携が求められます。

Electoric（電動化）

自動車の電動化と聞くと「ガソリンじゃなく電気で走る（だけ）」と思うかもしれませんが、電動化の魅力はそれだけではありません。エンジン不要により空いたスペースにECUや各種センサーを搭載でき、ハンドルによる物理操作はより精密な電子制御へ、物理制御ゆえの複雑な機構をシンプルなものへと改善できます。車のあらゆる機能がソフトウェアによって電子的に制御されることで、自動車はこれまでと比較にならないほどフレキシブルかつインタラクティブなサービス提供が可能になるのです。

一方でやはり課題は「サイバー攻撃対策」です。ソフトウェアには実装・改善が容易というメリットがありますが、攻撃者の存在を考慮すると、それらは同時にデメリットにもなり得ます。既述のように、車載ソフトウェアが増えれば増えるほど攻撃起点は増加するため、さらなるセキュリティ対策が必要となります。

自動車セキュリティに関する世界の取り組み

ソフトウェア制御が基本の自動運転車においては、自動車メーカーは車を販売したあとでも容易に自動運転機能等の追加や強化を行うことができます。システムの不具合が発生した場合も修正プログラムを配信（アップデート）するだけで済むのです。

一方で、やはり常に意識しなければならないのがサイバー攻撃のリスクです。安全な自動運転車を提供し続けるには、安全なソフトウェアアップデートと高度なサイバーセキュリティ対策の両立が非常に重要となるのですが、自動車を提供する各国で保安基準がバラバラでは、「安全な自動車」の世界規模での流通が困難となります。

そういったセキュリティ基準・法規基準を統一するために、世界規模で取り組みを進めている組織が「WP29※（自動車基準調和世界フォーラム）」です。日本は積極的にこれに参加しており、現在、イギリスと共同で専門家会議の議長を務めています。

※WP29：国連欧州経済委員会に属する組織で、自動運転に関する専門家会議はさらにその分科会である「GRVA（自動運転）」にて行われている。

WP29 GRVAで策定された基準に準じた自動車の流通活動を行いたい協定加入国は、当該法規基準をその国の法規に反映させる必要があります。例えば日本では、改正された「道路運送車両法」が2020年4月1日に施行されたことが記憶に新しいですが、これは、WP29 GRVAで議論中であったCS/SU規則※を反映したものです。

※CS/SU規則：サイバーセキュリティ/ソフトウェアアップデート規則

自動車セキュリティに関する日本の取り組み

日本では、自動車セキュリティに関する取り組みが”世界に先駆けて”行われており、特に、国の成長戦略の１つに位置づけられている「自動運転の実現のための制度整備」においてその動きが顕著です。

例えば、WP29 GRVAの専門家会議ではイギリスと共同で議長を務めていますし、先述の「改正道路運送車両法」の施行は、まだ議論中であったWP29 GRVAの法規基準をいち早く反映させたものです。

また、取り組みが進んでいるのは政府だけではありません。2020年6月にWP29のCS/SU規則が正式に成立したことで、日本では2022年7月以降に販売されるすべての新型車に対し、同規則への適応が義務付けられています。国内の各メーカー・サプライヤーは急ピッチで対応を進めており、すでに基準プロセスに準じた開発を始めている企業も多数存在します。

自動車産業は日本の基幹産業であり、自動運転分野における国際競争力の強化は国にとって非常に重要なテーマです。よって今後も、自動車セキュリティに関わる国際的な法規基準の策定において、日本がそのイニシアチブをとっていく姿勢は変わることはないでしょう。また、各自動車メーカーによる自動運転技術力の向上にも期待されます。