• 更新日
• 公開日
• 2024.07.30

　現代の車両は、多くの電子制御ユニット（ECU）や機器が搭載され、これらの機能はセキュリティの確保が不可欠となります。本記事では、セキュアエレメントがどのようにして車両の安全性と信頼性を向上させるかについて解説します。

1. 前回記事の振り返り

　本記事では前回の内容を踏まえ、セキュアエレメントに焦点を当てていきます。セキュアエレメントとは何か、なぜ必要なのか、さらに具体的な活用事例について説明します。

2. セキュアエレメントとは？

2-1. セキュアエレメントの概要

　前回記事では、Bluetooth、Wi-Fiといったワイヤレス通信を介したハッキングや、キーレスエントリーの脆弱性などを取り上げました。これらの脅威に対抗するために、セキュアエレメントの活用が注目されています。セキュアエレメントは、データの暗号化や不正アクセスを防ぐための保護機能を持ったチップです。セキュアエレメントを車両内の各システムに統合することでサイバーセキュリティの向上となり、車両を保護できます。

2-2. セキュアエレメントでの機密情報保護が必要な理由

　自動車の多機能化に伴い、サイバーセキュリティリスクは多様化しています。これらのリスクは、ECU更新手順、外部接続、車内ネットワーク、バックエンドサーバ、そして意図しない誤操作や設定ミスに至るまで様々です。以下は、自動車で想定されるサイバーセキュリティリスクの具体例です。

ECU更新手順の脅威

・アップデート手順の誤用、侵害

・正当な更新の拒否

外部接続、外部インタフェースの脅威

・外部無線通信からのリモート操作

・サードパーティソフトウェアの脆弱性

・USB、OBDボードからのシステム攻撃

車内ネットワーク通信チャンネルの脅威

・不正データ送信、なりすまし

・データ盗聴による機密エリアへの不正アクセス許可

・セッションハイジャック、再送攻撃

・車両のコード、データの不正操作、削除

・サービス拒否攻撃による車両機能の妨害

・ウイルスの混入

バックエンドサーバへの脅威

・サーバ経由による車両攻撃

・サービス中継攻撃による車両操作への影響

・サーバ保存データの侵害、削除

意図しない誤操作や設定ミスの脅威

・ユーザなどによる機器、システムの設定ミス

・意図せずサイバー攻撃を助長する行為

　これらのリスクを軽減し、機密情報を保護するために、セキュアエレメントの導入が不可欠です。

　以降の章では、セキュアエレメントの具体的な活用例を紹介します。

3. 活用例：電動バイク・自動車のオプション機器認証（正規品判定）

　電動バイクや自動車のオプション機器において、品質の確保と安全性の維持は非常に重要です。正規品ではない製品や模倣品の使用が広がると、性能の低下や安全性の問題を引き起こす可能性があります。このような問題に対処するため、セキュアエレメントを利用した認証システムが活用されています。

　以下の図のように、バイク・カーメーカから認定・交付された証明書をセキュアエレメントで検証することで、オプション機器の真贋判定が可能です。この認証プロセスにより、機器が正規品であることを確認し、模倣品の使用を抑制できます。

正規品のバッテリーパックの場合

非正規品のバッテリーパックの場合

※1：Battery Management Systemの略語で、バッテリーの状態を監視し、最適な運用を管理するためのシステムです。

※2：Electric Axleの略語で、モータ、ギアボックス、インバータ、および制御ユニットを一体化したものです。

4. 活用例：バッテリーパック/モジュールの正規品判定

　電動バイクや自動車のバッテリーパックやモジュールは、車両の性能と安全性に直結する重要な部品です。これらの部品が正規品であることを確認することが重要になります。

　以下の図は、バッテリーパック/モジュールの正規品判定プロセスです。Tier-1サプライヤが、Car-OEMまたは第三者認証機関に中間サイナー証明書への署名を依頼し、署名された証明書をTier-1サプライヤに返却します。そして、バッテリーパック/モジュールサプライヤが、Tier-1サプライヤに対してデバイス証明書への署名を依頼し、署名された証明書をバッテリーパック/モジュールサプライヤに返却します。BMSユニットはこれらの証明書を検証し、接続されたバッテリーパック/モジュールの真贋判定を行います。このプロセスにより、バッテリーパックやモジュールが正規品であることを確認でき、安全性と信頼性を確保します。

5. 活用例：ECUのセキュアブート、セキュアOTA

　ECUは車両の様々な機能を制御します。ECUのセキュリティが脆弱であると、悪意のあるソフトウェアがインストール・実行され、車両の安全性にリスクが生じます。そのため、ECUのセキュアブートやセキュアOTA（Over-the-Air）により、車両のセキュリティを強化することが重要です。

　以下の図は、ECUのセキュアブートとセキュアOTAのプロセスです。ECUのサプライヤが、FW（Firmware）イメージとそのデジタル署名をMCUに埋め込みます。セキュアエレメントはFWのデジタル署名を検証し、正規のFWのみを起動およびアップデートします。これにより、車両のセキュリティと信頼性を向上させることが可能です。

※上記はHMAC（Hash-based Message Authentication Code）と呼ばれる暗号化技術を用いた場合の例です。

6. 活用例：ECU間のセキュア通信

　自動車には多くのECUが搭載されており、それぞれが車両の異なる機能を制御しています。これらのECU間での通信は、安全性を確保するために重要です。

　以下の図は、ECU間のセキュア通信プロセスです。ECU1のMCUがCANフレーム（※3）を送信し、セキュアエレメントが共通鍵を使用してCMAC（※4）を生成します。生成されたCMACがECU2に送信され、ECU2が受信したフレームの整合性を確認することによって、正規のECU間でのみ通信が行われ、通信の安全性と信頼性が向上します。

※3 ：CANはController Area Networkの略語であり、ECUが通信するためのプロトコルです。CANフレームは、データを送受信するためのデータパケットを指します。

※4 ：Cipher-based Message Authentication Codeの略語であり、送信されるデータが改ざんされていないことや、正当な送信者から送信されたものであることを確認するためのアルゴリズムを指します。

7. 活用例：接続機器・装置の正規性チェック

　車両の多機能化に伴い、様々な電子機器や装置が車両システムと連携するようになっています。しかし、悪意のある不正ツールをインストールした装置が車両に接続されると、システムが正常に動作しなくなる場合があります。このような状況では、データの改ざんや不正アクセスが発生し、車両の性能や安全性に重大な悪影響を与える可能性があります。そこで、セキュアエレメントを活用することで、不正ツールによるアクセスを抑制できます。

　以下の図は、接続機器・装置の正規性チェックのプロセスです。検査装置が車両内のセキュアエレメントにアクセス要求を送り、セキュアエレメントが生成した乱数を用いて正規性を確認します。検査装置は共通鍵を用いて乱数を暗号化し、セキュアエレメントに送信します。セキュアエレメントで乱数が検証され、一致すれば正規品、すなわち製造元や認証機関が承認した正規のツールをインストールした装置であることが確認されます。

8. 活用例：セキュア・インターネット通信（TLS接続）

　現代の車両はインターネットに接続されることが一般的となってきました。しかし、インターネットを介した通信は、セキュリティのリスクを伴います。車両とサーバ間を安全に通信するために、TLS（Transport Layer Security）というプロトコルが使用されます。TLSは、車両とサーバ/クラウド間のデータ通信を暗号化する通信方式です。

　以下の図は、TLS接続のプロセスです。車両のECUがサーバと通信する際、相互認証と暗号化されたセッションを確立するために行われるのがTLSハンドシェイクです。このプロセスにより、車両の通信が暗号化され、セキュリティが強化されます。正規のデバイス証明書を用いることで、通信相手の信頼性も確保されます。

9. まとめ

　本記事では、セキュアエレメントに焦点を当て、様々な活用事例を紹介しました。現代の自動車は多機能化が進んでいる一方で、様々なセキュリティリスクも存在しています。これらのリスクを軽減し、自動車の安全性と信頼性を向上させるために、セキュアエレメントは重要な役割を果たします。

　車載セキュリティやセキュアエレメントについて、ご質問や詳細な情報が必要な場合は、お気軽にお問い合わせください。

（執筆者：須田学、編集者：内田将之）