SUMS（Software Update Management System）とは？その概要と重要性について解説

自動車のサイバーセキュリティに関するソフトウェアは、開発の段階だけでなく、その後安全に更新していくことも重要な課題となります。では自動車のサイバーセキュリティとしてはどのような基準に沿ってソフトウェアの更新を考える必要があるのでしょうか。本記事ではSUMSの重要性について紹介していきます。

ソフトウェアアップデートを行うためには、ソフトウェアアップデートの管理体制を構築して、安全性をテストする必要があります。弊社はSUMS（ソフトウェアアップデートマネジメントシステム）をテストできるプラットフォームを開発・提供しています。詳しくはこちらをご覧ください。

SUMS(Software Update Management System）とは何か？

SUMS（Software Update Management System）とは、World Forum for the harmonization of vehicle regulations（WP.29）にて策定されたUN-R156に含まれる国際的な法規となります。SUMSでは自動車のソフトウェア更新をセキュアに実施するための要件が仕様として提示されています。内容としてはソフトウェアの更新が失敗した際の車両の安全性や、法規に関連した文書の管理、エビデンスの作成など様々です。スマートフォンやパソコンではソフトウェアやシステムの更新が失敗した場合、そのことが影響してデバイスそのものが動作しなくなる場合があります。同じことが自動車の車載ソフトウェアで起きた場合、大きな事故につながってしまうリスクがあります。このため自動車ではスマートフォンやパソコン以上にソフトウェアの更新が失敗した場合の安全を確保することは重要です。ソフトウェア更新は大まかにプログラムの入手（ダウンロード）、展開、インストールのどこで失敗しているのかによって、車両そのものに与える影響が異なります。単純にプログラムの入手の問題であれば車両への影響はそこまで大きくはないことが予想できます。しかしインストールの処理の途中で起きた問題なら、車両などシステムへの動作も懸念しなければなりません。トラブルシューティングも複雑になりがちです。このためソフトウェアの更新についてはある程度どこでどのような失敗があれば、どのような影響があるのかを評価し、安全性を確保することが必要となります。このような安全な更新のプロセス、エビデンスを残すことも求められているのです。

ソフトウェア更新が安全に行われないことで起きる問題

ではSUMSで要求されているような事項を満たすことができず、ソフトウェアが安全に更新されなければどのような問題が起きるのでしょうか。このことを理解するためにはアップデートシステムへの攻撃にはどのようなものがあるのかを知る必要があります。それは通信やソフトウェアの脆弱性をつく攻撃や、悪意のあるアップデートのインストールなどです。このような攻撃が成功したら、遠隔操作によるロック解除や個人情報の流出など、ビジネスインパクトが大きな出来事に結びついてしまう可能性があります。通常ソフトウェアのバージョンアップ/更新では、機能の追加/更新だけでなく、発見された脆弱性や既知となった問題への修正が含まれます。仮に既知の問題や脆弱性の対策ができなければ、そういった状態は攻撃者にとって恰好の的となります。

次に近年の車載ソフトウェアには、オープンソースソフトウェア（OSS)が利用されていることが少なくありません。オープンソースソフトウェアは無償で利用できるため、コストを抑えながら開発効率を高めるメリットはあります。しかしソースコードが公開された状態であるため、攻撃コードが開発されて実際に攻撃されてしまうリスクがあります。そしてオープンソースソフトウェア自体の脆弱性が公開されることもあるため、脆弱性情報の収集と影響評価を正しく行わなければ、ソフトウェアの安全性を脅かす要因にもなりかねません。

またソフトウェアを正常に更新することができず、追加機能をユーザに提供できなければ、品質低下や機会損失につながるリスクがあります。このためSUMSに従いソフトウェアを安全に更新するための体制を整えることは、自動車メーカーや関連する企業にとっても重要度が高いテーマだといえるでしょう。

SUMSで要求されている内容

では次にSUMS（Software Update Management System）では具体的にどのようなことが掲げられているのかを見ていきましょう。

・ソフトウェア、車両の構成管理

適切に車両や車載システムを更新するためには、正しくバージョンなどを把握して管理することが必要です。通常のソフトウェア開発でも構成管理は欠かせませんが、自動車のサイバーセキュリティにおいてもそれは共通です。

・ソフトウェアのバージョンアップに伴うセキュリティ対策

バージョンアップが失敗した場合の安全の確保、バージョンアップを狙う攻撃への対策など、バージョンアップアップに伴って考慮しなければならないことはいくつもあります。　

・法規関連のドキュメント管理

SUMSにおいては、ソフトウェアを安全に更新するだけでなく、ドキュメント管理についても要求されています。安全に法規に関するドキュメントを残す仕組みを整えなければいけません。

・ソフトウェアのバージョンアップに伴う影響の評価

ソフトウェアのバージョンアップが車両に対してどのような影響を与えるのか、その評価を行うこともSUMSでは要求されています。

・バージョンアップ情報のユーザへの通知

ソフトウェアのバージョンアップ情報は適切にユーザに通知されなければいけません。バージョンアップによって修正される問題や追加される機能、対策される脆弱性などの情報がある程度なければ、ユーザがバージョンアップの必要性を正しく判断できないからです。深刻度が高い脆弱性への対策など、緊急度が高い更新であれば特に、それがユーザに伝わるような通知の手段を整える必要があります。

これらの項目はSUMSで要求されている内容の一部となります。SUMSの詳細についてはUN-R156に含まれるため、UN-R156については以下をご覧ください。

UNECE、https://unece.org/transport/documents/2021/03/standards/un-regulation-no-156-software-update-and-software-update

SUMS/CSMSは共に必要な取り組み

自動車のサイバーセキュリティとして、SUMSと同じように重視される要件としてCSMS（Cyber Security Management System）があります。ではSUMSとCSMSにはどのような違いがあるのでしょうか。UN-R156と同じ時期に発行されたUN-R155においてはSUMSではなく、CSMSに関する内容が要求されています。CSMSはISO/SAE 21434の国際規格の要件に基づくものであり、Software Update だけでなく、PSIRT構築などライフサイクル全体のマネジメントシステムとなります。このためSUMSに近いところもありますがCSMSはより全社的にライフサイクルを管理することに意識を向けなければなりません。また全社的にセキュリティを考えるなら、CSMSとSUMSに関連するプロセス構築は切り離さずに考える必要があります。なぜならCSMSでライフサイクル全体のサイバーセキュリティ対策を規定すれば、SUMSとしての取り組みを定める際にCSMSで定められた内容を考慮する必要があるからです。このため自動車のサイバーセキュリティの文脈においては、CSMSとSUMSはセットで語られることが少なくありません。実際に自動車のソフトウェア/運用について体制を整える際もCSMSとSUMSの両方を考慮することは欠かせないといえるでしょう。

まとめ

これまで述べてきたようにSUMSは自動車のサイバーセキュリティとして欠かせない、国際的な法規に応じたソフトウェア更新に関するマネジメントシステムを指しています。このため自動車に関するソフトウェアの開発/更新においては、SUMSに応じた設計、開発、構成管理を欠かすことはできません。車両ソフトウェアの開発や運用に携わる担当者は、組織に定められたSUMSを把握してセキュリティに関する業務に従事する必要があるといえるでしょう。