53 自動車部品メーカとしての セーフティ セキュ …...2015/12/07 · cso: chief...
TRANSCRIPT
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
自動車部品メーカとしての
セーフティ&セキュリティの活動紹介
株式会社デンソー
電子基盤技術統括部
DP-情報セキュリティ開発室
室長 早川 浩史
Dec. 7, 2015
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
お伝えしたいこと
クルマを取り巻く環境変化
サービスの進展(コネクテッド、自動運転)と
クルマへの攻撃事例より、これまでのセーフティに加えて、
セキュリティ強化が急務な状況である
弊社の活動方針
会社の仕組み・基盤の継続的な強化の元で、安心・安全な製品を開発する
【仕組み】会社の構えを作り、PDCAを継続 (例)CSO, 規定、監査体制、SIRT, ISAC連携
【プロセス】製品の全ライフサイクル・サプライチェーンを踏まえて、既存プロセスを強化
【プロダクト】クルマの保護資産に適切な多層防御
製品開発の考え方
セキュリティレベルと効率化の両立のために、プラットフォームベース開発をする
プロセスに基づき対象システムを分析・要件定義し、対策・評価はプラットフォームから選択する
– プラットフォームの対象例:E/Eアーキテクチャ、通信、プリント基板、マイコン、ソフト
1
CSO: Chief Security Officer
SIRT: Security Incident Response Team
ISAC: Information Sharing and Analysis Centers
製品 開発 製品部署で
要件・設計・テスト
仕組み 基本方針、規定、情報管理、
アセスメント・監査、緊急対応体制、人材育成
基盤 プロセス、プロダクト(プラットフォーム)
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
目次 2
1. イントロダクション
2. クルマをめぐるセキュリティの状況
3. デンソーのセキュリティコンセプト
4. デンソーの活動内容
5. まとめ
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
会社概要
本社:愛知県刈谷市
1949年12月16日
(就業人員ベース)
設 立
資本金
売上収益
営業利益
従業員数
(日本61、北米28、欧州35、アジア58、南米/その他6)
連結子会社数
(日本13、北米4、欧州4、アジア12、南米/その他2)
持分法適用関連会社数
1,874 億円
188 社
35 社
連結 4兆 3,098 億円
連結 3,314 億円
146,714 名
38,493 名
連結
単独
/ 2015年3月31日現在
※その他、非連結子会社が1社あります。
3
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
快 適・利 便
ハイブリッド車・電気自動車用製品、
燃料電池車用製品、
ガソリンエンジンマネジメントシステム、
ディーゼルエンジンマネジメントシステム、
スタータ、オルタネータ、ラジエータ、 など
安心・安全 走行支援システム用センシングシステム、
ABS/ESC用アクチュエータ&コンピュータ、
ヘッドランプコントロールシステム(AFS)、
エアバッグ用センサ&コンピュータ、
車両周辺監視システム、コンビネーションメータ、
ワイパシステム、 など
カーエアコンシステム、
バス用エアコン、空気清浄器
カーナビゲーションシステム、ETC車載器、
リモートセキュリティシステム、
リモートタッチコントローラ、スマートキー、
車両運用システム(ドライビングパートナー)、など
環 境
自動車分野の主要製品
https://youtu.be/mV8Wuj4N6Dc
4
ETC: Electronic Toll Collection System ABS : Antilock Brake System ESC : Electronic Stability Control
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
2020年の目指す姿
今後10年の私たちの使命として取組む
負の影響を最小化
クルマの利便性・喜びを世界中の人々に届ける
地球環境の維持 安心・安全
正の価値を最大化
クルマが世界の人々に愛され続けるために
デンソーグループ 2020年長期方針 http://www.denso.co.jp/ja/aboutdenso/corporate/vision/
5
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
車載電子システムの変遷
ネットワーク
通信バス経由の
ECU間リソース共有
アクセス
通信バス経由の
変数情報の交換
1990 2005 2010 2020
独立制御 車両システムのインテリジェント化
+インフラ統合
インテグレート オンデマンド
ユーザのニーズ、
車の状況に自律的に反応
ネットワークアプリの
協調・統合
スタンドアロン
運動制御
統合システム
(例) エンジン制御 車両運動統合制御 運転支援統合制御 自動運転
ECUシステム
制御動向
車両統合システム
プロセシング データ通信 ネットワークシステム アプリケーション統合 自律協調システム
6
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
車両内ネットワーク
制御系システム : (中速~高速) CAN, FlexRay
ボデー系システム : (低速) CAN, LIN
情報系システム : (高速) MOST, IEEE 1394, Ethernet
Front ECU Right
Front ECU Left
Auto Cruise ECU
Occupants Detection Sensor
Roll Over Sensor
Air Bag
Cluster ECU
Gate Way
ECU
Combination SW
Audio & Climate Control Panel
Steering Lock ECU
Seat
Rear SW
Integrated Body ECU
Rear ECU
RL Door ECU
RR Door ECU
P Door ECU
D Door ECU
Display & Display ECU
TV & Audio Turner
Digital Audio
ボデー系システム
制御系システム
情報系システム
代表的な車載通信プロトコル
インフラ
要求される通信速度に応じた三系統のネットワーク化、常時接続が進む
Laser Radar Sensor Engine
ECU
Chassis ECU
7
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
車載電子システム開発の課題
xxMY-フラッグシップ システム構成
yyMY-高級車 システム構成
zzMY-中級車 システム構成
メーカ、車種、仕向地、性能バリエーション
サプライヤ
種類
I/F
サプライヤ
種類
I/F
サプライヤ
種類
I/F
CAN
LIN
FlexRay
センサ アクチュ
エータ
ネットワーク
プロダクトとしての特徴
–品質・セーフティが重要
– エレキ・メカが混在
–多くの部品のすり合わせ
– メカ部品(センサ、アクチュエータ)への対応
プロセスとしての特徴
–納入先との分担開発
–サプライヤ間の分担開発
–車両開発と同期した仕様開発
–仕向地毎の法規対応
– ニーズに合わせたオプション対応
クルマは多くの部品(ECU、センサ、アクチュエータ)、LANから構成されている
センサ アクチュ
エータ
サプライヤ
種類
I/F
サプライヤ
種類
I/F
仕様バリエーションを大量に開発
8
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
Distance Control
クルマの将来像 - Mobility Society Image
Anyone, Anytime, Anywhere : enjoy various services through network without any stress
ユビキタス社会
スマートグリッド ICTサービスの浸透
社会インフラ連携 自動運転
POI
Map
Route Calculation
…
Cloud
常時接続
ブロードバンド通信網 BATT
BATT
Monitoringsmart meter
BATT
BATT
Monitoringsmart meter
Smart Phone
Cellphone
Network Wi-Fi
V2I
V2V DSRC
Generation
Generation Transmission
PLC or Radio
Multi-modal Mobility
Transit Fee
Car Sharing
Park & Ride Crash Avoidance
Pedestrian Detection
Charging Station
Expected
Travel Distance
Operation &
Management
Center
Management
V2V: Vehicle to Vehicle communication
V2I: Vehicle to Infrastructure comm.
DSRC: Dedicated Short-Range Comm. PLC: Power Line Communication
Control Center
クルマはIoTの一部、社会インフラとのつながりによる新しいモビリティ社会に
9
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
目次
1. イントロダクション
2. クルマをめぐるセキュリティの状況
3. デンソーのセキュリティコンセプト
4. デンソーの活動内容
5. まとめ
10
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
クルマにおける脅威の状況
2012- 様々な攻撃事例報告
2011 リモートHacking
2010 車載LANのHacking
OBD,LAN経由で制御
ドイツ自動車協会
(ADAC)
出典:Wired.com
EscarEU
「Comprehensive Experimental
Analyses of Automotive Attack Surfaces」
初期のテレマで実施
出典:http://www.ipa.go.jp/files/000005475.pdf
「Experimental Security Analysis of a Modern Automobile」 出典:http://www.ipa.go.jp/files/000005475.pdf
11
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
[参考]Jeepリコール
Jeepへの攻撃
車外からの遠隔攻撃により、走行中にワイパー動作やエンジンが停止した
攻撃シナリオ(仮説) ※北米セキュリティカンファレンスで発表
① 遠隔から通信機経由で対象車両に接続する
② 攻撃者がECUの管理者権限を取得
③ ECUのプログラムを改ざんする
④ 不正CANコマンドを対象ECUに送信する 出典:Wired.com @7/21
走曲止
管理者
権限 CAN
プログラム ECU ECU
プログラム
改ざん
携帯網
攻撃者
ボデー系
①
②
③ ④
攻撃対象ECU
インターネット
CAN経由で
不正コマンド送信
通信機
12
攻撃者:クルマを購入・解析後、周辺機器への制御コマンド送付に成功した
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
標準化動向
地域毎に標準化活動が徐々に進んでいる
2011 2012 2013 2014
TEVEES18 (Motor Vehicle Council, Electrical Systems Group)
(on-board secure comm. Security WP)
ISO 15118 PT5 (V2G)
Study group of embedded security in car
for Automotive
Process Product
HSM
Guide
Expected by DENSO
2015
ISO 13185(VSG)
Europe
JAPAN
USA
Standard
J3061
Thin Spec
2000 2005 2010
ISO/IEC 15408
ISO 27002
FIPS 140-2
TSL
AES、SHA-2
TCG
IT Industry
SAE: Society of Automotive Engineers TCG: Trusted Computing Group ACES: Automotive Consortium for Embedded Security
SHE
TSL: Transport Layer Security AES: Advanced Encryption Standard SHA: Secure Hash Algorithm TCG: Trusted Computing Group
V2G: Vehicle-to-Grid VSG: Vehicle Station Gateway SHE: Secure Hardware Extension HSM: Hardware Security Module
(700MHz band) Guideline (RC-009)
Information security subcommittee JASO Technical Paper
Automotive Industry
13
IPA: Information-technology Promotion Agency JSAE: Society of Automotive Engineers in Japan JAMA: Japan Automotive Manufactures Association JASPAR: Japan Automotive Software Platform and Architecture JASO: Japanese Automotive Standards Organization SIP: Cross-ministerial Strategic Innovation Promotion Program
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
欧州動向
主な目的:高いセキュリティレベルを長期間維持する
課題:CC*適用はV2Xシステムとしては開発期間・コストの観点で難しい
source: C2C-CC@Nov. 2013
車外と車載通信器間限定であるものの、CCに代わる新たな標準を検討中
* TAL: Trust Assurance Level
* Common Criteria (CC) 14
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
北米動向 TEVEES18
source: escar USA@ Jun. 2014
Automotive Security Guidelineが投票される予定
• グローバル唯一のガイドラインとなる
• ISO 26262との一貫性も注目である
15
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
国内動向
source: Automotive World 2015 @Jan. 2014
自動車業界として、3団体で役割分担をして活動中
16
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
目次
1. イントロダクション
2. クルマをめぐるセキュリティの状況
3. デンソーのセキュリティコンセプト
1. 対象定義
2. クルマへの想定攻撃
3. 対策方針
4. デンソーの活動内容
5. まとめ
17
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
対象システム
対象定義 V2V: Vehicle-to-Vehicle V2I: Vehicle-to-Infrastructure EVSE: Electric Vehicle Service Equipment DCM: Data Communication Module
LTE: Long Term Evolution BT: Bluetooth ITS: Intelligent Transport Systems PLC: Power Line Communication GW: Gateway
モビリティ社会@2020年
Smart Phone
車々・路車間通信 V2V
専用線 diagnosis
専用線 EVSE
車
・・・
・・・
・・・
パワトレ
シャシ
ボデー
ECU02
ECU21 ECU22
ECU11 ECU12
ITS
ECU01
車載GW
BT Wi-Fi
車内GW
車外GW
DCM
PLC
Cloud
Bluetooth Wi-Fi
制御系
情報系
V2I
専用無線
(LTE) Data Center
・・・
評価技術
セキュリティポリシ
セキュリティ分析
要件・仕様
設計・評価
セキュリティ機能活用
保守(リプロ含む)
サービス・運用
脅威/リスク
鍵廃棄
機能停止
・・・ セキュリティコスト
・・・
インシデント管理
対策技術
企画 開発 廃棄 運用
ライフサイクル
18
2020年以降で全体最適なクルマのSecurity Controlを検討する
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
ADAS Powertrain
Chassis
Body
Multimedia
モビリティ社会@2020年
専用無線(LTE)
Smart phone
車々・路車間通信V2V
専用線diagnosis
専用線EVSE
車
・・・
・・・
・・・
パワトレシャシ
ボデー
ECU02
ECU21 ECU22
ECU11 ECU12
ITS
ECU01
車載GW
BTWi-Fi
車内GW
車外GW
DCM
PLC
Data Center
Cloud
BluetoothWi-Fi
制御系
情報系
人命
プライバシ
財産※V2I
ドメイン定義
本講演では、クルマの中を4つのドメインとする
車内(in-vehicle)
対象システム
車外~通信モジュール
人命
プライバシ
財産
被害分類
ADAS: Advanced Driving Assistant System 19
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
Quality
既存の対応
これまでのセキュリティは財産とプライバシを中心に対応してきた
Powertrain
Chassis
Body
ADAS
Multimedia Reprograming Security
System Safety (incl. Functional Safety)
Car Security Information Security
車内(in-vehicle)
対象システム
車外~通信モジュール
人命
プライバシ
財産
被害分類
ADAS: Advanced Driving Assistant System 20
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
将来予想
ADASでは品質・セーフティに加えてサイバーセキュリティにも対応する必要がある
Powertrain
Chassis
Body
beyond ADAS (Automated or
Autonomous Driving) ADAS
Focus: Cybersecurity FBI warns driverless cars could be used as 'lethal weapons‘ @Jul. 2014
Reprograming Security
Information Security Car Security
System Safety (incl. Functional Safety)
Quality
Multimedia
車内(in-vehicle)
対象システム
車外~通信モジュール
人命
プライバシ
財産
被害分類
ADAS: Advanced Driving Assistant System
出典:Google
21
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
クルマのセキュリティの課題 V2V: Vehicle-to-Vehicle V2I: Vehicle-to-Infrastructure EVSE: Electric Vehicle Service Equipment DCM: Data Communication Module
LTE: Long Term Evolution BT: Bluetooth ITS: Intelligent Transport Systems PLC: Power Line Communication GW: Gateway
攻撃の進化 攻撃者の動機の多様化 セーフティ(人命)への影響
セキュリティ技術の進化 脆弱性対策 セーフティとセキュリティ
①保護対象資産が多岐にわたる(人命、プライバシ、財産)
②脅威とセキュリティコントロールとの適正なバランス
※長期間(例:15年以上)、低コスト・低リソース、高い性能要求
課題 赤字:IT業界との違い
モビリティ社会@2020年
Smart Phone
車々・路車間通信 V2V
専用線 diagnosis
専用線 EVSE
車
・・・
・・・
・・・
パワトレ
シャシ
ボデー
ECU02
ECU21 ECU22
ECU11 ECU12
ITS
ECU01
車載GW
BT Wi-Fi
車内GW
車外GW
DCM
PLC
Data Center
Cloud
Bluetooth Wi-Fi
制御系
情報系
不正機器
取付け
人命
プライバシ
財産※
不正機器
取付け・改造・
事前解析
※ 課金、知的財産、車両盗難
保護対象資産 脅威
V2I
専用無線
(LTE)
盗聴・改ざん
なりすまし等
22
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
セキュリティ対応方針
クルマの特徴
情報系
変化の早い外との接続が必要
お客様のニーズから製品周期も短い
制御系
人命に関わる事故に至る可能性あり
既存対策(品質・安全)もある
Smart Phone
車々・路車間通信 V2V
専用線 diagnosis
専用線 EVSE
車
・・・
・・・
・・・
パワトレ
シャシ
ボデー
ECU02
ECU21 ECU22
ECU11 ECU12
ITS
ECU01
車載GW
BT Wi-Fi
車内GW
車外GW
DCM
PLC
Data Center
Cloud
Bluetooth Wi-Fi
制御系
情報系
V2I
専用無線
(LTE)
ナビ
セキュリティ
既存対策
(クルマの強み)
IT技術ベース
品質
セーフティ
情報系 制御系
• 情報と制御のアーキテクチャレベルの分離 • 品質・セーフティ機能の脆弱性の低減
セキュリティの考え方
情報系
IT標準技術を流用する
制御系
既存の車業界の考え方をベースに
不足分はIT標準技術を流用する
23
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
Secure Logging
Anomaly Detection
セキュリティコンセプト
Vehicle
攻撃者
Outside
考え方:保護資産毎に最適な既存資産を活用して多層防御する
人命
プライバシ
財産
Exte
rnal F
irew
all
Exte
rna
l Tra
nsa
ctio
n D
efe
nse
Exte
rnal E
CU
Defe
nse
IT技術の車載適用 In
tern
al G
W D
efe
nse
Inte
rnal T
ransactio
n D
efe
nse
Inte
rna
l Fire
wa
ll
Inte
rnal E
CU
Defe
nse
IT技術の車載改良
De
fense fo
r Safe
ty
Syste
m S
afe
ty
既存セーフティの強化
財産 (車両盗難)
• 財産、プライバシ : IT技術をベースに防御する
• 人命(セーフティ) : さらなるセーフティ強化とIT技術の融合で防御する
24
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
目次
1. イントロダクション
2. クルマをめぐるセキュリティの状況
3. デンソーのセキュリティコンセプト
4. デンソーの活動内容
1. 活動概要
2. プロセス基盤
3. プロダクト基盤
5. まとめ
25
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
モビリティ社会@2020年
Smart Phone
車々・路車間通信 V2V
専用線 diagnosis
専用線 EVSE
車
・・・
・・・
・・・
パワトレ
シャシ
ボデー
ECU02
ECU21 ECU22
ECU11 ECU12
ITS
ECU01
車載GW
BT Wi-Fi
車内GW
車外GW
DCM
PLC
Data Center
Cloud
Bluetooth Wi-Fi
制御系
情報系
人命
プライバシ
財産 V2I
専用無線
(LTE)
セキュリティ活動概要
目的: 適正なセキュリティ製品をお客様にご提供し続けている
活動: モビリティ社会2020年を目指してセキュリティ共通基盤を開発し
製品試行により現場で使えるレベルにする
課題:
V2V: Vehicle-to-Vehicle V2I: Vehicle-to-Infrastructure EVSE: Electric Vehicle Service Equipment DCM: Data Communication Module LTE: Long Term Evolution BT: Bluetooth ITS: Intelligent Transport Systems PLC: Power Line Communication GW: Gateway
26
1. 対策方針 2. 技術開発
4. 会社ルール 5. 人材育成 3. 標準化
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
セキュリティ活動の要件定義
課題
1. 対策方針
2. 技術開発
3. 標準化活動
4. 会社ルール
5. 人材育成
要件:会社の仕組みとして①~③を管理していること
出荷前に相場に合った製品企画・
開発・製造をしていること
出荷後の脆弱性を
(a)把握・(b)製品インパクト判断・
(c)アップデートにより、 適正な
セキュリティレベルを維持していること
インシデント発生時は
速やかに対応すること
①Development
③ Incident
Response
② Vulnerability
Handling
ライフサイクル
企画 開発 廃棄 運用
①Development ② Vulnerability Handling
③ Incident Response
セキュリティライフサイクルと要件の関係
27
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
プロセス:
リスクレベルの定義と設計・評価基準
車業界の分散開発に合った役割分担
セーフティ(機能安全含む)との関係性
最終的にはISO化(state-of-the-art)
プロダクト:
想定脅威、対策レベルの相場形成
設計技術と評価技術の標準化
セキュリティ評価・テストベッド構築
活動内容
セキュアなモノづくりの仕組み 攻撃・脆弱性管理と セキュリティ機能更新の仕組み
情報共有: 日本版Auto-ISAC (OEM+サプライヤ領域)
機能更新:
クルマ版Scoring System
車業界での運用
更新の仕組み(Over The Airリプロ)
緊急対応の仕組み
OEM・サプライヤ間の既存の品質保証の
仕組みのセキュリティ拡張(個社)
インフラのインシデント対応方法(e.g.V2X)
出荷前 出荷後
①Development
③Incident Response
② Vulnerability Handling
今後、国・他業界も巻込んだ活動が必要 現在、車業界で活動中
ISAC: Information Sharing and Analysis Center 28
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
セキュリティ共通基盤
製品開発とセキュリティ開発との関係
製品開発部署は共通基盤から適切なプロセス、対策・評価を選択し適用する
①Development
製品開発
要件定義
E/Eシステム開発
E/Eコンポーネント開発
HW・SW設計
実装・テスト
開発プロセス
セキュリティ機能開発 セキュリティポリシ
セキュリティ要件定義
システム
セキュリティ仕様開発
コンポーネント(HW・SW)
セキュリティ仕様開発
セキュリティテスト
①プロセス セキュリティ開発プロセス
共通基盤
基本方針
テスト
基準
設計検証
基準
③評価 ②対策
対策・評価レベルの相場観
対策技術
実装技術
①プロセス ②対策基盤 ③評価基盤により、現場で使えるレベルにする
29
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
目次
1. イントロダクション
2. クルマをめぐるセキュリティの状況
3. デンソーのセキュリティコンセプト
4. デンソーの活動内容
1. セキュリティ概要
2. プロセス基盤
2.1 量産適用の課題
3. プロダクト基盤
5. まとめ
30
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
セキュリティ開発プロセス
セキュリティ要件定義: 2段階の要件定義プロセス 財産・プライバシー系:クルマの保護資産(情報)を攻撃から守る
セーフティ系:クルマのハザードを引き起こす可能性のある要因を攻撃から守る
情報漏えい(例:走行履歴)
攻撃要因
分析(ATA)で
対策:認証、暗号化…
財産・プライバシ系の要件定義
ATA:Attack Tree Analysis
ハザード
アクチュエータC
対策:認証、改ざん検知、暗号化…
信号A センサB
要因分析
(FTA)で解析
要因
セーフティ系の要件定義
ATAで
解析
FTA:Fault Tree Analysis
車両開発のワークフロー定義 現状のクルマ業界の開発スタイル(分散・自工程完結)を考慮する
各工程(車両、システム、HW、SW)の役割・責任分担の明確化
以降、セーフティとセキュリティの関係について詳述する
31
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
spoofing
of ECU
Sensor Auth.
Tamper Proof
Sensor Auth.
Tamper Proof Secure Boot Actuator Auth.
Tamper Proof ECU Auth.
ECU
error
ECU
error detection
spoofing tamper spoofing tamper spoofing tamper
Security controls added on some modules
spoofing
of MCU tamper
Attack
セーフティ&セキュリティ
セキュリティ機能で
安全機能の脆弱性を低減する
セーフティを構成するデータや
機能の完全性と可用性を保護する
プロセス定義の着眼点
クルマは安全機能により、
クルマの安全性を担保する
セキュリティの攻撃は
クルマが危険な状態に至る要因の一つ
Unintended severe failure operation
COMMAND Failure INPUT Failure OUTPUT Failure
SA1 error Comparison with SA2
open
Command value
error SB1 error
Motor
error
Output F/B
detection
overcurrent … … short … RAM change …
Comparison with SB2 Self test
for MCU
…
… …
… …
Safety Mechanisms
主機能 e.q. LKA, ACC
安全機能(Safety Mechanism)
e.g. Driver Override
Existing
Existing
セキュリティ機能
• Access Control to DLC
• Domain Isolation of networks
• Authentication between ECUs or ECU-sensor
• Message Authentication of critical data
• Secure boot
e.g.
New
e.g. bus cut-off, fail op
Fault
Error
Failure
32
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
車業界の開発スタイル(分散、自工程完結)も考慮し、役割を明確化する
Concept
System Basic Design
Functional Basic Design
VA, FCR
HARA, Safety Goal
System Design Vul. Veri.
TARA, Security Goal
Safety Veri.
Function Design
SA, FSR
VA, TCR
SA, TSR
Vul. Veri. Safety Veri.
Hardware Design Vul. Veri. Safety Veri.
VA, HCR
SA, HSR HW Basic Design
Software Design
Vul. Veri. Safety Veri.
VA, SCR
SA, SSR SW Basic Design
Vul.
Test
HARA: Hazard Analysis and Risk Assessment TARA: Threat Analysis and Risk Assessment SA: Security Analysis Safety Veri.: Safety Verification VA: Vulnerability Analysis Vul. *: Vulnerability * V&V: Verification and Validation
*SR: * Safety Requirement *CR: * Cybersecurity Requirement F*R: Functional * Requirement T*R: Technical * Requirement H*R: Hardware * Requirement S*R: Software * Requirement
Safety
Test
Software V&V
Vul.
Test Safety
Test
Hardware V&V
Vul.
Test Safety
Test
System V&V
Vul.
Test Safety
Test
Vehicle V&V
HW
SW
System
ワークフロー
考え方: 安全機能の脆弱性を
セキュリティで低減する
Safety Analysis
Safety Requirement
Safety Verification
Safety Test
Safety (existing)
33
車両レベルの脅威・リスク 分析により、 クルマとしてのセキュリティ ゴール(SG)を定義する
システムレベル以降は、SGとセーフティ要件を 踏まえて詳細設計・テスト(脆弱性観点含む)する ※トレーサビリティ
セキュリティ検討の入力は安全機能
Security (new)
Vulnerability Analysis
Security Requirement
Vulnerability Verification
Vulnerability Test
Design
Test
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
Concept
System Basic Design
Functional Basic Design
VA, FCR
HARA, Safety Goal
System Design Vul. Veri.
TARA, Security Goal
Safety Veri.
Function Design
SA, FSR
VA, TCR
SA, TSR
Vul. Veri. Safety Veri.
Hardware Design Vul. Veri. Safety Veri.
VA, HCR
SA, HSR HW Basic Design
Software Design
Vul. Veri. Safety Veri.
VA, SCR
SA, SSR SW Basic Design
Vul.
Test Safety
Test
Software V&V
Vul.
Test Safety
Test
Hardware V&V
Vul.
Test Safety
Test
System V&V
Vul.
Test Safety
Test
Vehicle V&V
HW
SW
System
各階層の目的・検討イメージ
<システム>
対象システムのSLを更新(+発生可能性AP)し
機能・評価要件を定義する
<ハードウェア>
システム要件とHWの脆弱性を踏まえて
機能・評価要件を定義する
<ソフトウェア>
システム要件とSWの脆弱性を踏まえて
機能・評価要件を定義する
階層毎に詳細化しながら、システムの脆弱性をSL以下に低減する
プリント基板、
マイコン、外付けメモリ
②
③
• 要件例:MAC鍵の耐タンパ性
<コンセプト≒車両>
提供サービスのセキュリティレベルSL(影響度DP)
と対応方針を定義する 前方車両 検出
加減速 判断
指令値 演算
加減速 制御
論理レベル
(物理I/Fなし)
① ② ③ ④
• SL3(意図せぬ急加速 DP高) • 対応方針:標準アーキで対応可
前方車両に追従する運転支援サービス
SL: Security Level
TCU: Telematics Control Unit
ACC: Adaptive Cruise Control
CGW: Central Gateway
③
アプリケーション、
ミドルウェア、ドライバ
• 要件例:MAC処理のバイパス防止
③
・・・
・・・
TCU
3G/LTE
34
物理レベル
(通信プロトコル、
機能配置済み)
Radar CGW
①
④
• SL2 CGW内側は“AP低”のため • 要件例:指令値の改ざん検知 ACC
マイコン ②③
④ エンジン ブレーキ
CAN
CAN
DP: Damage Potential
AP: Attack Potential
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
[参考]セキュリティレベル イメージ
出典:HEAVENS Security Model
影響度 DP (Damage Potential)
発生可能性 AP (Attack Potential)
35
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
主機能に対するハザードに対してセキュリティ要件を定義
V2V Communication
Vehicle in front
CACC
GPS
Speed
V2V V2V
Radar
CACC VLC
Engine
Brake
Acceleration
Acceleration Request Torque Radar (Distance)
ハザード: 意図しない急加速
安全状態: ブレーキオーバライド
最大加速度 = 0.x G
ASIL: x
セーフティゴール
脅威: 意図しない急加速(同一) セキュア状態: ブレーキオーバライド、最大化速度0.xG
セキュリティレベル X (検討中) 攻撃対象: 無線区間、 車載LAN、 センサ
セキュリティゴール
Brake Pedal
MaxG
uard
Speed
Sensors ECU Speed
Sensors Speed
Sensors Speed
Sensors CRC
Protocol
Security
SHE
Security
MAC
Security
36 CACCにおけるセキュリティ対応例 特定の車両システムは想定していません
CACC: Cooperative Adaptive Cruise Control
セーフティとセキュリティによりクルマを攻撃から守る
VLC: Vehicle Longitudinal Control
SHE: Secure Hardware Extension
MAC: Message Authentication Code
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
目次
1. イントロダクション
2. クルマをめぐるセキュリティの状況
3. デンソーのセキュリティコンセプト
4. デンソーの活動内容
1. セキュリティ概要
2. プロセス基盤
2.1 量産適用の課題
3. プロダクト基盤
5. まとめ
37
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
車両C
車両B
車両A
量産適用の課題 と 考え方
既存資産の有効活用 と セキュリティ部署の下支え により実現する
課題① 品質・セーフティ・セキュリティの保証
品質
セーフティ
セキュリティ
品質
セーフティ レベル
既存製品 将来製品
既存
課題② 脆弱性管理、セキュリティ人材不足
既存製品・プロセスをベースに
セキュリティを強化する(再掲)
•車両開発前に標準アーキテクチャを開発する •品質・セーフティ設計後にセキュリティ対応する
セキュリティ
セーフティ システム 車両 HW
SW
システム 車両 HW SW
車両開発の流れ
標準 アーキテクチャ (セーフティ&
セキュリティ 対応済)
・・・
車両開発前
Concept
System Basic Design
Functional Basic Design
VA, FCR
HARA, Safety Goal
System DesignVul. Veri.
TARA,Security Goal
Safety Veri.
Function Design
SA, FSR
VA, TCR
SA, TSR
Vul. Veri.Safety Veri.
Hardware Design
Vul. Veri.Safety Veri.
VA, HCR
SA, HSRHW Basic Design
Software Design
Vul. Veri.Safety Veri.
VA, SCR
SA, SSR
SW Basic Design
Vul.
TestSafety
Test
Software V&V
Vul.
Test
Safety
Test
Hardware V&V
Vul.
TestSafety
Test
System V&V
Vul.
Test
Safety
Test
Vehicle V&V
HW
SW
System
現状の製品部署の工数増を最小限に留める
38
セキュリティ部署を新設し、 共通部分(次ページ参照)は恒久的に管理する
共通部分(特権機能)を利用した攻撃から
保護する要件
(アプリ非依存)
主機能の動作を
攻撃から保護
する要件
(アプリ依存)
要件
要件
製品部署
セキュリティ
部署
標準 部品
P47参照
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
特権機能
車両(適合)
システム(故障診断、リプロ)
ハードウェア(製造テスト、不良解析)
ソフトウェア(デバッグ)
アプリ非依存
既存
項目 定義 例 分類
主機能 お客様にご提供する機能 走曲止、高度運転支援、IVI アプリ依存
[補足]クルマの機能とセキュリティ対策
主機能
既存
車両
システム
ハードウェア
ソフトウェア
アプリ依存
既存
39
クルマの機能
Memory
Program
Data
MCU
Program
Data
通信端子(CAN等)
デバッグ/テスト端子
プログラム、データの読み出し、書き換え
ECU
JTAG
シリアル
ダイアグキャリブレーション
リプロ
JTAGイメージ
V2V Communication
V2V
Radar
CACCVLC Engine
Brake
Acceleration
Acceleration Request TorqueRadar (Distance)
Brake Pedal
MaxG
uard
Speed
Sensors ECUSpeed
SensorsSpeed
SensorsSpeed
SensorsCRC
Protocol
Security
SHE
Security
MAC
Security
セキュリティ機能 (例)ECU認証、改ざん検知、異常検知
製品部署が 分析・開発する
新規
プライバシ・財産系
セキュリティ
項目 定義 例 分類
主機能 お客様にご提供する機能 走曲止、高度運転支援、IVI アプリ依存
特権機能(共通部分) 品質保証や機能確証に必要な機能 デバッグ、リプロ、製造テスト アプリ非依存
安全機能 (安全関連システムの場合) (例)ドライバーオーバーライド
セーフティ系
セキュリティ機能
セキュリティ機能
セキュリティ機能
セキュリティ機能
新規
セキュリティ
セキュリティ部署が開発し 製品部署に提供する
主機能と特権機能を守ることが必要である
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
特権機能の概要
ECU内のプログラム、データに外部からアクセス可能な機能
Memory
Program
Data
MCU
Program
Data
通信端子
(CAN等)
デバッグ/テスト
端子
プログラム、データの読み出し、書き換え
ECU
JTAG
シリアル
ダイアグ
キャリブレーション
リプロ
JTAGイメージ
分類 機能 説明
マイコン/メモリ JTAG
マイコンのデバッグポート。CPUバスに接続でき、プログラムの実行や
メモリ読み出し、書き込みが可能
シリアル マイコンのFlashメモリに書き込みを行うI/F
通信端子
ダイアグ CANなどから内部の情報にアクセスするコマンド
キャリブレーション パラメータの書き換え。メモリのデータ書き込みが可能
リプログラミング プログラムの更新機能
JTAGイメージ 出典:http://www.tokudenkairo.co.jp/jtag/whatisjtag.html
40
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
ECU対策基準 41
特権機能対策
SL1
脅威と対策のバランスが重要
SL2 SL3 SL4
世の中の規格を参考
ISO 15408:
FIPS140-2: 攻撃能力(脅威)でレベル分け
一般的なI/Fを
利用した攻撃
デバイスマニュアル参照
市販機器利用
高度な専門性
専門機器利用
想定できる
あらゆる攻撃 脅威
少し頑張れば
攻撃できる
攻撃にお金、
時間、知識が必要 最先端研究
脅威の 考え方
不変的な脅威レベルを定義し、標準的なECU対策基準を作成済み
SLとECU対策基準とのひも付け
リプロ デバッグ 誰でも
攻撃できる
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
課題:セキュリティレベルと効率化とを両立する
コンセプト:セキュリティプラットフォーム*で製品を保証する
セキュリティプラットフォームの開発・保守はセキュリティ部署が実施する
セキュリティプラットフォーム
Vulnerability Analysis
Security Requirement
Security Specification
Security Implementation
Target Definition
Threat Analysis
Risk Assessment
Security Goal
Vulnerability
Verification
Vulnerability
Test
Vehicle, System, HW, SW
Security Product Development
Vul. Veri. Method
Vul. Test Method
Std. Vul. Test DB
Attack DB
Security Platform
Maintenance Development
Vulnerability DB
Attack DB
Vulnerability DB
* 十分に脆弱性を低減済み
(例:第3者評価)
Requirement Method
Threat &Risk Analysis
Security Manual
Security Design Rule Std. Design
DB
Attack DB
Security Platform
Development Maintenance
Vulnerability DB
Std. Spec. DB
Attack DB
Vulnerability DB
42
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
セキュリティ評価基盤
目的
セキュアな製品開発のためセキュリティ評価を強化
外部への説明責任
■ 他業界の標準スキーム
IT 業界
ISO/IEC 15408・18045 (CC※1・CEM※2)
ISO/IEC 19790・24759
(FIPS 140-2 ,FIPS 140-2 DTR)
制御システム
EDSA※3(IEC 62443)
■現在の評価プロセス
設計
設計レビュー
実装
コードチェック、コードレビュー
テスト
V&V テスト, 閾値テスト など
比較&分析
※1 Common Criteria
※2 Common Methodology for Information Technology Security Evaluation
※3 Embedded Device Security Assurance
既存の業界標準を 車両評価フローへ 取込む
セキュアなものづくりのための基盤を構築する
内容
妥当性チェックリスト、ツール
セキュリティ評価要件
脆弱性DB
攻撃DB
セキュリティ評価共通基盤
3. Security
requirement Check
(ex. FIPS140-2)
1. Adequacy
Check (CC, PCIDSS)
5. Secure Coding Check(ex. CERT C )
8. Security
Verification(ex. FIPS140 -2)
2. Anti
VulnerabilityCheck (CEM)
9. Security Validation
*RBG : Random BitGeneratorsCAVP :CRYPTOGRAPHIC
ALGORITHM VALIDATION PROGRAM
Public Source:
ISAC, CERT etc.
Vehicle
System
HW
SW
System Basic Design
Functional Basic Design
VA, FCR
H&R, Safety Goal
System DesignVul. Veri.
T&R,Security Goal
Safety Veri.
Function Design
SA, FSR
VA, TCR
SA, TSR
Vul. Veri.Safety Veri.
Hardware DesignVul. Veri.Safety Veri.
VA, HCR
SA, HSRHW Basic Design
Software Design
Vul. Veri.Safety Veri.
VA, SCR
SA, SSRSW Basic Design
Vul.
TestSafety
Test
Software V&V
Vul.
TestSafety
Test
Hardware V&V
Vul.
TestSafety
Test
System V&V
Vul.
TestSafety
Test
Vehicle V&V
* vehicle, system, HW and SW
6. C
AV
P*
7. R
BG
* Evalu
atio
n(A
IS 2
0)
4. Vulnerability
Analysis(CEM)
10. Vulnerability Test (CEM)
11. Penetration Test (CEM)
Vulnerability DB Attack DB
implementation
requirement
Design
Validation
Verification
43
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
目次
1. イントロダクション
2. クルマをめぐるセキュリティの状況
3. デンソーのセキュリティコンセプト
4. デンソーの活動内容
1. セキュリティ概要
2. プロセス基盤
3. プロダクト基盤
5. まとめ
44
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
[再掲]セキュリティコンセプト
• 財産、プライバシ : IT技術をベースに防御する
• 人命(セーフティ) : さらなるセーフティ強化とIT技術の融合で防御する
45
Secure Logging
Anomaly Detection
Vehicle
攻撃者
Outside
考え方:保護資産毎に最適な既存資産を活用して多層防御する
人命
プライバシ
財産
Exte
rnal F
irew
all
Exte
rna
l Tra
nsa
ctio
n D
efe
nse
Exte
rnal E
CU
Defe
nse
IT技術の車載適用 In
tern
al G
W D
efe
nse
Inte
rnal T
ransactio
n D
efe
nse
Inte
rna
l Fire
wa
ll
Inte
rnal E
CU
Defe
nse
IT技術の車載改良
De
fense fo
r Safe
ty
Syste
m S
afe
ty
既存セーフティの強化
財産 (車両盗難)
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
核となる 技術領域
保護資産と出荷時期で整理
核となる技術領域
20年目線の安全関連(完全性の保証)
対策技術
攻撃前後で大分類し、
目的別に技術を整理する
外出時に 監視
※防犯カメラ・ センサ
• 侵入検知
• 侵入防御
技術領域の整理
安全
プライバシ
財産
20年目線 25年目線
地域見回りや警備 会社と契約する
※泥棒を近づけない
• ドメイン分離
• ECU対策
• ソフト対策
厳重な戸締り
※2重ロック、シャッター 番犬、金庫
• アクセス制御
• 機器認証
• 改ざん検知・暗号化
予防 検知 抑止
速やかに通報 ※不正利用防 止(各種カード)
• フェールセーフ
• 機能縮退
盗難保険
※再発行
• セキュリティパッチ
• OTAリプロ
• Fail Operational
通知 処置 回復
未然防止 事後対策
領域拡大
出荷時期
保護資産
46
以降、 20年目線のセキュリティアーキテクチャ を説明する
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
セキュリティアーキテクチャ
セキュリティアーキテクチャを定義の上、対策技術を開発/製品適用中
47
DCM: Data Communication Module V2X: Vehicle-to-X PLC: Power Line Communication
GW: Gateway H/U: Head Unit AT: Automatic Transmission
スマートフォン
V2X通信
専用線 診断ツール
充電
ステーション
シャシ
エアコン ドア
ステア ブレーキ
V2X
H/U
Bluetooth Wi-Fi
車載GW
DCM
PLC
データセンタ
クラウド
Bluetooth Wi-Fi
マルチメディア
ボデー
車両
レイヤ1 レイヤ4 レイヤ3
脅威
ADAS ADAS ロケータ
エンジン AT パワートレイン
… LTE
外部接続 GW 車載LAN ECU
レイヤ2
…
…
…
…
… 専用線
①抑止: 多層防御/ドメイン分離
セキュアハード実装
セキュアプログラミング ①抑止
セキュアストレージ
デジタル署名
暗号化
鍵管理
ECU認証
メッセージ認証 セキュアブート アクセス制御
(フィルタリング) 暗号化
アクセス制御
(認証、フィルタリング)
②予防
異常検知
セキュアロギング ③検知
リプログラミング(ツール、OTA) ④回復
DCM: Data Communication Module
V2X: Vehicle-to-X
PLC: Power Line Communication
GW: Gateway
H/U: Head Uni
ADAS: Advanced Driving Assistant System
AT: Automatic Transmission
ECU: Electronic Control Unit
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
レイヤ1
48 外部接続(入口)の対策 セキュリティ上の懸念
外とつながるI/F経由で遠隔/近接から車両へアクセス正規ユーザになりすまして機能の不正操作、情報漏洩
外部I/F
DCM等
DLC
ポート
正規ユーザへのなりすまし等の
不正アクセスによりメッセージの
注入、盗聴 GW
不正メッセージ
ECU
ECU
対策例 車両とつながる相手が正規のユーザや機器であることを認証して、不正な接続を拒否
セキュリティ性高
公開鍵暗号の処理負荷高、公開鍵の検証が要
<チャレンジ&レスポンス>
共通鍵
外部機器
共通鍵
外部I/F
乱数 乱数
レスポンス
暗号化
レスポンス
暗号化
レスポンス 検証
仕組みとして単純で軽量
共通鍵の共有・管理方法が課題
<デジタル署名>
秘密鍵 公開鍵 公開鍵
データ データ
ハッシュ値 ハッシュ
ハッシュ値 ハッシュ値
ハッシュ値
ハッシュ
ハッシュ値
署名 復号
外部機器 外部I/F
検証
同時に送信
外部I/F
DCM等
DLC
ポート
入口で認証することで、
不正なユーザや機器の
アクセスを拒否 GW
認証の仕組み(例)
ECU
ECU 不正メッセージ
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
49 GWの対策 セキュリティ上の懸念
外とつながるI/F経由で遠隔/近接から車両へアクセス正規ユーザになりすまして機能の不正操作、情報漏洩
外部I/F
DCM等
DLC
ポート
正規ユーザへのなりすまし等の
不正アクセスによりメッセージの
注入、盗聴 GW
不正メッセージ
ECU
ECU
対策例 外から送られてくるメッセージ、外に出すメッセージのフィルタリング、ネットワークの監視
外部I/F
DCM等
OBD
ポート
入口をすり抜けた不正な
メッセージのフィルタリング GW
ECU
ECU
<(参考)フィルタリング例>
車速:100km/h 車速:高速
位置:刈谷市昭和町 位置:刈谷市
出力情報の抽象化
ネットワークの監視
異常検知
レイヤ1・2を組み合わせることで、効率的な入口での防御が可能
不正メッセージ
レイヤ2
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
車載LANの保護
ECU A
ECU B メッセージ
メッセージ
ECU AになりすましてCAN上に直接メッセージを注入
車両機能を不正制御
CAN上を流れる
メッセージを直接盗聴
メッセージ
対策例
ECU A
ECU B
メッセージ
復号鍵を知らない
攻撃者は、メッセージを
読めない
<メッセージ暗号化>
×
メッセージを
暗号化
ECU A
ECU B メッセージ MAC
メッセージ
× 攻撃者は共通鍵を知らず、
正しい認証子を生成できない
<メッセージ認証>
メッセージに 認証子を付与
ECU A
平文
MAC
共通鍵
MAC生成
平文
MAC
ECU B
平文
MAC
MAC生成
MAC 比較
送信
共通鍵
MAC
MAC:Message Authentication Code 50
セキュリティ上の懸念
攻撃者が、CANに直接アクセスし、
メッセージを注入または盗聴
メッセージ注入:機能の不正操作
メッセージ盗聴:情報漏洩(機密、プライバシ)
レイヤ3
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
app app app
RTE
BSW(OS)
MCU
リプロ
BL 暗号
Lib
脆弱性利用
異常コマンド実行等 権限昇格
リプロ機能
の不正利用
セキュリティ上の懸念 ECUをSW的に直接アクセス、攻撃
することで重要情報(鍵)を不正に取得、
機能を乗っ取る
app app app
RTE
BSW(OS) CSM/CRY
MCU SHE
セキュアコーディング
パーミッション管理 リプロ
不要な機能の削除
BL
要件外機能の
削除、無効化
暗号
Lib
ライブラリ評価
セキュア
リプロ
対策例 脆弱性を盛り込まない
不要な機能やバックドアの削除
権限を適切に管理する
セキュリティIP
対応
セキュリティIP
対応
乱数性評価
CSM:Crypto Service Manager
CRY: Cryptographic Library
SHE: Secure Hardware Extension
BL: Boot Loader
RTE: Runtime Environment
BSW: Basic Software
MCU: Micro Controller Unit 51 ECUの保護
レイヤ4
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
まとめ
背景・動向
クルマがIoTの一部となりつつあり、サイバーセキュリティの重要性は高まっている
クルマがハッキング対象と認識されている
車業界でセキュリティの標準化にむけ、欧米からの提案などの動き
弊社の活動
【仕組み】車業界のセキュリティの確立を目指し、ライフサイクルとサプライチェーンを検討中
【セキュリティコンセプト】IT業界の多層防御の考え方をベースに車載特有の課題を解決中
【プロセス・プロダクト】車特有のセーフティ&セキュリティの関係性(ワークフロー)を定義し、
効率的なモノづくりのためにセキュリティ対策基盤、評価基盤の開発を推進中
今後の課題
グローバルかつ他業界を踏まえて、車業界の想定攻撃を定義する
クルマのリスク評価手法(≒ASILのセキュリティ版)を定め、各リスクレベルにおける
設計・評価レベルを策定する
車業界の「Development, Vulnerability Handling, Incident Response」の
仕組みを構築する
52
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
[番外編]パソコンとクルマの世界の違い
項目 パソコンの世界 クルマの世界
特徴 都会 村社会
住人(PC,ECU) ノート、デスクトップPC 16, 32ビットマイコン 16~200MHz
ライフタイム 5年程度 非常に長い 10~20年
住人間のつながり方の前提
まずはつながる相手の確認が前提
メーカ含め大勢、周りの人はみんな知り合い、善人ばかり、いきなり話し出す
通信回線 TCP/IP:誰が誰に話しているかわかる。1Gbps
CAN:誰でも話せるが、誰が話してい
るか分からない。大事なメッセージが優先される。バス型。 500Kbps
守るもの 情報(財産、プライバシ) 人命、財産(クルマ)、プライバシ
外との交流 20年以上 つながり始めた (ここ5年活性化)
外からの攻撃対策 ホームGW機器 内と外を分離する柵(GW)を設置
改造 基本改造OK、オプション製品 改造は危険、基本NG
通信の保証 認証、HTTPSなど活用 嘘発見器(メッセージ認証)
内部攻撃対策 ウイルスソフトで対策 リプロ、改造検知、動的検出
53
/ 53
DENSO CORPORATION All rights reserved.
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Dec. 7, 2015 DP-Cyber Security R&D Dept. Confidential
©
Thank you for your attentions