パナソニック オートモーティブシステムズ、パナソニック ホールディングスは9月9日、両社が共同で、出荷後の車両ソフトウエアのセキュリティで脆弱性が生じるリスクを分析するソリューション「VERZEUSE® for SIRT(Security Incident Response Team)」を開発した。
この「VERZEUSE® for SIRT」とは、車両に搭載されているソフトウエアを対象に、出荷後に発見された脆弱性のセキュリティリスクを分析し、対応優先度を判定するもの。
そんなセキュリティソリューションの展開策と製品群について、パナソニック オートモーティブシステムズは、2014年よりサイバーセキュリティ技術・サービスブランドとして「VERZEUSE®
」をグローバルに展開中だ。
なおブランド名となったVERZEUSE®は、スペイン語で「見る」を意味する「Ver」と、「神」を意味する「Zeus」を組み合わせた造語だ。それは現代社会を空または上空から神のごとく、社会の安全を見守るという意味が込められているという。
VERZEUSE®の開発陣営は、テレビ、レコーダー、携帯電話、スマートフォン、決済端末、半導体などパナソニックグループの様々な商品のセキュリティ領域に携わってきた技術者が結集。
それぞれの強みを活かしたサイバーセキュリティ技術の開発やオートモーティブ商品への搭載を進めてきた。そのなかでグループの知識や経験に裏打ちされた技術を社会で役立てていくべく研究開発を推し進め、今回、モビリティ向けのセキュリティソリューション「VERZEUSE® for SIRT」をリリースするに至った。
今回の「VERZEUSE® for SIRT」については、日々増加する膨大な脆弱性情報から、リスクの高い脆弱性を自動で絞り込み、リスク分析や脆弱性対応の時間を大幅に削減することを目指す。なお当該ソリューションは2024年9月16日~20日に開催される第30回「ITS世界会議2024ドバイ(ドバイ世界貿易センター/UAE)」に出展される。
2024年9月9日プレスリリース:「第30回ITS世界会議2024ドバイ」に出展
https://news.panasonic.com/jp/press/jn240909-1
先の両社で、この「VERZEUSE® for SIRT」の開発に取り組んだ背景は、今日、自動運転技術の進化、デジタル化の拡大、そしてインターネットに接続された「コネクテッドカー」の普及が進むにつれて、自動車に対するサイバー攻撃のリスクが増していることがある。
特に近年では、サイバー攻撃がより巧妙になるにつれて、車両ソフトウエアの脆弱性報告件数は「オープンソース・ソフトウエア(OSS)」を中心に増加傾向にある。更に車両がソフトウエアで強化される「ソフトウエア・ディファインド・ビークル(SDV)」が進化するにつれて、車載ソフトウエアの規模と数も増え続けると見られている。
そのような環境下で自動車業界としては、サイバー攻撃から車両を防御・監視するための仕組みづくりが急務だ。それは設計、開発フェーズだけでなく車両の出荷後についても、搭載されているソフトウエアが将来に於いて、拡大していく傾向にあるなかで新たな脆弱性が生まれていないかを継続的に監視し続け、発見された緊急度合いを推し量りつつ、脆弱性のセキュリティリスクに応じた対応をとる必要があるからだ。
しかも膨大な脆弱性情報を押し並べて、セキュリティリスクの大小を考慮せず網羅的に分析して相次いで盲目的に対策を講じると、作業時間が膨れ上がるというコスト面の課題が生じる。またそもそも日々数多く発生する脆弱性には、セキュリティリスクの高いものと低いものが混在しているのは、確かである。
加えて車両は多数のECUで構成されており、今後は、個々のECUにそれぞれに最適化したソフトウエアが搭載される。従って同じようなソフトウエアの脆弱性であっても、搭載されるECUの自体の重要度により車両に与えるセキュリティリスクが異なる。
画像は、車両レベルでのセキュリティリスク分析に基づく脆弱性分析に係る分類例
また今日のSDV化の進化で複数のECUを連動させる機能も増加している。ゆえに一つの脆弱性が車両全体に与えるセキュリティリスクを正確に把握することは、今後はより難しくなることも想定できる。従って「ソフトウエア × 脆弱性 × 搭載ECU」の掛け算で分析を行う必要があるだろう。そうした環境下で、「VERZEUSE® for SIRT」が目指すべき、ソフトウエアセキュリティの設計思想と大きな特徴については以下の要素が挙げられる。
<VERZEUSE® for SIRTの特長>
1. 車両レベルでのセキュリティリスク分析に基づく脆弱性分析
「VERZEUSE® for SIRT」は、設計時の車両のセキュリティ脅威分析の結果や各ECUに搭載されたソフトウエアのリストであるSBOM(Software Bill of Materials)、各ECU間の接続情報を用いて、当社独自の分析アルゴリズムにより、想定されるサイバーセキュリティ攻撃の経路と影響を算出。ECU単体ではなく、車両全体でセキュリティリスクを分析する。
2. パナソニックグループが各分野から収集した脅威情報を活用
パナソニック オートモーティブシステムズとパナソニック ホールディングスとの協業により、パナソニックグループが工場や、家電、IoT機器など各分野から収集した脅威情報を蓄積した「サイバーセキュリティインテリジェンス」と連携することにより、セキュリティリスク判定の精度を向上させる。
3. ISO/SAE 21434に準拠した脆弱性分析をサポート
「VERZEUSE® for SIRT」における脆弱性分析は、ISO/SAE 21434のプロセスに則って実施され、結果を保存する。またその結果は、監査を受ける際に提出する証跡として使用できるようにする。
▼パナソニック オートモーティブシステムズ株式会社 ウェブサイトhttps://automotive.panasonic.com/