スマートカーのセキュリティ、米英政府の対策は：ガイドラインを発表（2/2 ページ）

セキュリティ専門家の意見は

画像はイメージです

　では、セキュリティの専門家は、政府のガイドライン策定をどのように見ているのだろうか。

　例えば、米国のOnBoard Securityで製品担当バイスプレジデントを務めるGene Carter氏は、「英国とNHTSAのガイダンス文書にはともに、セキュリティに関する基本事項が盛り込まれている」と考えているという。

　同氏は、「設計によるセキュリティ、多重防御、最小権限の原則などの対策は、ハードウェアやソフトウェアをWebに接続している全ての企業が守る必要がある。ただし、これらは基本にすぎない。自動車メーカーがITで培った経験から十分に学んで、既に重要な対策を講じていることを願っている」と述べている。

　Carter氏を含む数人の専門家は、「英国のガイダンスは、脆弱性が発見された後のソフトウェアのアップデートまでは言及していない」と指摘している。

　Carter氏は、「英国のガイダンスは、組織がシステムのライフサイクルにわたってセキュリティを維持する方法を提示しているにすぎない」と述べている。

　同氏は、「OTA（Over-The-Air）によるアップデートを自動車の必須要件にすべきだ」との見解を示し、「メーカーが、10〜20年の耐用年数にわたって脆弱性を発生しない自動車を製造することは不可能だ。OTAがなければ、自動車の所有者は新たな脆弱性が発見されるたびに自動車を修理に持ち込まなければならず、多くの車両がハッキングの危険にさらされる。OTAの採用によって、危険な状態にある車両に即座に修正をかけることができる」と説明した。

　Carter氏は、「自動車メーカーは、OTAの採用によってリコールの際に膨大なコストを節約できるため、自発的に同技術に移行する可能性もある。たとえそうだとしても、英国はOTAの採用について明確に規定すべきだと考えている」と述べている。

　自動車のサイバーセキュリティ企業であるKaramba Securityの共同設立者でチェアマンを務めるDavid Barzilai氏も、英国政府のガイダンスに対する見解を示した。同氏は、英国の先制措置を称賛する一方で、「このガイドラインが自動車のハッキングを効果的に防止する方法までは提示していない」と指摘している。

　Barzilai氏は、自動運転技術の急速な進歩に伴うリスクについて警告している。同氏は、その危険性について、「自動車は何千ものセキュリティバグが隠れた状態で生産に入る。自動車1台には1000万〜1億行のコードで書かれたプログラムが搭載されていて、全てのソフトウェアには必ずバグが潜んでいるものだ」と説明した。

【翻訳：青山麻由子、滝本麻貴、編集：EE Times Japan】