57 つながるクルマのセーフティセキュリティ · This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced

This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.

Jan. 22, 2015 DP-Cyber Security R&D Dept.

/ 57 Jan. 22, 2015

つながるクルマのセーフティ&セキュリティ

Safety and Security for Connected Vehicles

Hiroshi Hayakawa

General Manager

DP-Cyber Security R&D Department

Basis Electronic Technology Unit

DENSO CORPORATION

The 12th Workshop on Critical Software Systems (12thWOCS2)



/ 57 本講演でお伝えしたいこと 1/2

弊社のサイバーセキュリティに関する認識

スマートフォンの急激な普及、東京オリンピックに向けた高度運転支援の高まり、

エネルギー問題などを受けて、クルマもIoTの一部になりつつある。

このためサイバーセキュリティの重要性が高まっている。

クルマの資産は、IT業界と共通する「お客様の個人情報：プライバシ」、

「課金・OEMやサプライヤなどの知的財産：財産（情報）」に加えて、

「車両盗難：財産（モノ）」や「人命：セーフティ」と多岐に渡る。

このためIT業界の知見を流用しつつ、車業界としてのこれまでの強みである

「品質・安全」を活かした新たなサイバーセキュリティの考え方を作る必要がある。

またこの考え方はお客様に安心・安全を提供するために、

車業界だけでなく、連携先の他業界も含めてグローバルで標準化も必要である。

IoT: Internet of Things 1



/ 57 本講演でお伝えしたいこと 2/2

弊社の活動

クルマのサイバーセキュリティを確立するには、車業界のライフサイクルと

サプライチェーンを踏まえた新たなサイバーセキュリティの枠組みが必要である。

このため標準化活動および個社としての仕組みの早期構築が必要である。

個社としては、会社の継続的な管理下の元、以下仕組みが重要。

①製品に対する適正なセキュリティ開発する仕組み

②出荷後も脆弱性に対応する仕組み

③インシデント発生時に緊急対応する仕組み

本講演では最初のステップである①について、（a）開発プロセス、

（b）設計基盤（セキュリティコントロール）、（c）評価基盤を中心に紹介する。

今後の活動

欧米は自動運転に向けて活動を加速している。特に②③は個社及び日本の車業界

だけでなく、他業界も含めてグローバルで連携した活動が必要である。

またこれらの活動を継続するためのビジネスモデルも必要となる。

2



/ 57 Agenda

1. Introduction

2. Future of Motorized Society

3. Trends of Cybersecurity

4. DENSO’s Concept

5. DENSO’s Activities

6. Summary

3



/ 57 会社概要

1949年12月16日

（就業人員ベース）

設立

資本金

売上高

経常利益

従業員数

（日本62、北米26、欧州35、豪亜56、その他6）

連結子会社数

（日本13、北米4、欧州3、豪亜11、その他2）

持分法適用関連会社数

1,874 億円

185

33

連結

単独

4兆 959 億円

2兆 4,908 億円

連結

単独

3,777 億円

2,223 億円

139,842 名

38,581 名

連結

単独

4

/ 2014年3月31日現在 ※その他、非連結子会社が2社あります。本社：愛知県刈谷市



/ 57 2020年の目指す姿

にこだわり、今後10年の私たちの使命として取組む

負の影響を最小化

クルマの利便性・喜びを世界中の人々に届ける

地球環境の維持安心・安全

正の価値を最大化

クルマが世界の人々に愛され続けるために

デンソーグループ 2020年長期方針 http://www.denso.co.jp/ja/aboutdenso/corporate/vision/

5



/ 57 当社の主要製品 6

快適・利便

ハイブリッド車・電気自動車用製品、

ガソリンエンジンマネジメントシステム、

ディーゼルエンジンマネジメントシステム、

スタータ、オルタネータ、ラジエータ、など

安心・安全走行支援システム用センシングシステム、

ABS／ESC用アクチュエータ＆コンピュータ、

ヘッドランプコントロールシステム（AFS）、

エアバッグ用センサ＆コンピュータ、

車両周辺監視システム、コンビネーションメータ、

ワイパシステム、など

カーエアコンシステム、

バス用エアコン、空気清浄器

カーナビゲーションシステム、ETC車載器、

リモートセキュリティシステム、

リモートタッチコントローラ、スマートキー、

車両運用システム（ドライビングパートナー）、など

環境

ETC : Electronic Toll Collection System ABS : Antilock Brake System ESC : Electronic Stability Control AFS : Adaptive Front-Lighting System



/ 57 Agenda

1. Introduction





6. Summary

7



/ 57 2.1 モビリティ社会の課題

地球・自然・社会

クルマのニーズ

地球温暖化 CO2排出の低減、CO2フリー

原油依存の限界パワートレインの多様化

車両・物流集中交通事故低減、モーダルシフト

高齢化快適・利便な交通手段

情報化常時接続高速通信の活用

ライフスタイル変化クルマの新たな価値の提供

8



/ 57 2.2.1 安全－世界の交通事故死者数と日本における推移

新興国は日本の1960年代の状況エアバッグ、シートベルト、ABS/ESCの普及が必要日米欧はエアバッグ､ABS/ESCは普及運転支援システムの普及が必要（走行支援、視界支援等）

（千人）

1270.0（’04） 1170.7 （’98）世界

5.3（’98）ブラジル

36.5（’07） 32.2 東南アジア

74.7 インド

73.7 中国

39.1 （’07） 55.5 欧州25

34.0 42.1 米国

4.9 9.9 日本

変化 2009 1996

67.8

114.4（’07）

7.1 （’07）

世界の交通事故死者数

事故数

(千件

)

市場車両台数

(百万台

)

1950 1960 1970 1980 1990 2000 2010

15

20

10

0

5

、事故死者数

事故数

車両台数

0

50

100

150

200

事故死者数

(千人

)

• 取締、安全教育強化

• インフラ整備

• シートベルト義務化

• 前方衝突試験義務化

• エアバッグ, ABS100％装着化

日本の交通事故推移

（出典）

・Based on various statistical data in 2009 （Exhibited by： Global status report on road safety (WHO), European Road Statistics 2009 (IRF), Transportation conditions report of major countries（MLIT）, NPA, NHTSA, The Ministry of Public Security of the People's Republic of China.）

・EU： 25 countries (excepted Bulgaria, Romania from EU-27)

・South-Eastern Asia: Philippines ('06), Malaysia ('07), Singapore ('07), Indonesia ('07), Thailand ('07) ABS : Antilock Brake System ESC : Electronic Stability Control

9



/ 57 2.2.2 情報通信－将来のユビキタス社会における車を取巻く環境

いつでも、どこでも、誰でも、ストレスなく、ネットワークから様々なサービスを享受

スマートグリッド、マイクログリッド

BATT

運用管理センター

BATT

発電

発電送電管理

モニタリング

PLC or 無線

スマートメータ

充電スポット

継続走行距離

電力マネジメント

ITサービス利用増加 POI

地図

経路計算

・・・

クラウド

常時接続

スマートフォン連携

クラウド活用

ユビキタス社会

付加価値は車載器からセンターへ

車室内操作表示系変化

•持ち込まれる情報機器の増加

•環境・情報の新たな情報

•操作・表示の氾濫

EV、PHVは電力・通信インフラの中で

電力貯蔵装置として利用される社会

PLC : Power Line Communication EV : Electric Vehicle PHV : Plug-in Hybrid Vehicle

10



/ 57 2.3 モビリティ社会の将来像

社会インフラとの連携による新しいモビリティ社会に

膨大なデータの

統合・解析・監視・管理

安全性

自動車メーカー、サプライヤー家電エネルギー、ユーティリティー公的機関電気通信住宅建設エンターテインメント、放送金融サービス

V2V通信

カー・シェアリング／パーキング

出典：IBM IBV “Automotive 2020”

通信 GPS 次世代携帯電話 Wi-Fi／WiMAX

V2X

統合プラットフォーム

スマート・グリッド、スマート・エネルギー

スマート・シティ、スマート・トラフィック

バッテリー・トレーサビリティー

住宅、エネルギー渋滞課金・交通インフラ

「つながる」クルマ

グリーン・カー

新たなビジネス・モデル／サービス（業界間）

リアルタイム解析

遠隔診断

交通渋滞監視

ネットワーク・カスタマー・サポート

11



/ 57 Agenda

1. Introduction





6. Summary

12



/ 57 ＜お伝えしたいこと＞3. サイバーセキュリティの動向

日米欧の動向

クルマのIoT化が進むにつれ、サイバーセキュリティの重要性が高まっている。

現状、標準化は日米欧毎に活動しており、国際標準の動きは表面化していない。

車外接続のセキュリティについては、V2XやV2Gのシステムで検討されている。

一方、「走る・曲がる・止まる」に関わるin-vehicleについては、水面下で検討されて

いる状況である。特に北米で検討中のガイドラインは、人命に関わるISO 26262と

の一貫性も考慮しており注目である。

今後の動向

セキュリティ検討では、モビリティ社会視点で全ライフサイクルにおける検討が

必要となる。これまで品質の上に、車両盗難やマルチメディア（例：ナビゲーション

システム、ETC）は情報セキュリティを強化してきた。一方、in-vehicleでは同様に

機能安全を強化してきた。

今後は車外とも連携した高度運転支援が進展すると、これまでの品質・情報セキュ

リティ・機能安全をベースとした、クルマのサイバーセキュリティの強化が必要となる。

IoT: Internet of Things V2X: Vehicle-to-Vehicle and Infrastructure V2G: Vehicle-to-Grid ETC: Electronic Toll Collection System

13



/ 57

新たなサービスの進展

車外とツナガル製品（例：スマホ連携、

V2X, V2G）や自動運転に向けた

動きが非常に活発な状況

負の側面（車の脆弱性の暴露）

3.1 背景 V2X: Vehicle-to-Vehicle and Infrastructure V2G: Vehicle-to-Grid

サイバーセキュリティの重要性が高まっている

14

source: ITS World Congress @Oct. 2013

source: DEF CON 21 @Aug. 2013

米ハッキング学会：車両制御の乗っ取りデモ

対象箇所デモ内容

メータ走行中にスピードメータが100mphなどを示す

ブレーキ走行中に勝手に急制動

ステアリング走行中に勝手に蛇行

エンジン走行中に急加速。エンジンも切ることができない

ホーン走行中に勝手にホーンが鳴る

シートベルト走行中に運転席のシートベルトが巻き上がる

ガスゲージいきなりフルゲージに変更

歩行者衝突回避支援型PCS（トヨタ）踏み間違い衝突防止アシスト（日産）

シティブレーキアクティブシステム（本田）



/ 57 3.2 標準化動向

地域毎に標準化活動が徐々に進んでいる

2011 2012 2013 2014

TEVEES18 (Motor Vehicle Council, Electrical Systems Group)

(on-board secure comm. Security WP)

ISO 15118 PT5 (V2G)

Study group of embedded security in car

for Automotive

Process Product

HSM

Guide

expected by DENSO

2015

(700MHz band)

ISO 13185(VSG)

Europe

JAPAN

USA

Standard

Information security subcommittee

Guideline (RC-009)

J3061

Thin Spec

2000 2005 2010

ISO/IEC 15408

ISO 27002

FIPS 140-2

TSL

AES、SHA-2

TCG

IT industry

Auto industry

SAE: Society of Automotive Engineers TCG: Trusted Computing Group ACES: Automotive Consortium for Embedded Security

SHE

TSL: Transport Layer Security AES: Advanced Encryption Standard SHA: Secure Hash Algorithm TCG: Trusted Computing Group

V2G: Vehicle-to-Grid VSG: Vehicle Station Gateway SHE: Secure Hardware Extension HSM: Hardware Security Module

IPA: Information-technology Promotion Agency JSAE: Society of Automotive Engineers in Japan JAMA: Japan Automotive Manufactures Association JASPAR: Japan Automotive Software Platform and Architecture

15



/ 57 欧州動向

主な目的：高いセキュリティレベルを長期間維持する

ISO/IEC 15408* is difficult and not enough to assure C2C in auto industry

source: C2C-CC@Nov. 2013

事例

車外と車載通信器間限定であるものの、CCに代わる新たな標準（TAL）を検討中

* TAL: Trust Assurance Level

* Common Criteria (CC) 16



/ 57 北米動向 TEVEES18

source: escar USA@ Jun. 2014

Automotive Security Guidelineが投票される予定

• グローバル唯一のガイドラインとなる

• ISO 26262との一貫性も注目である

事例

17



/ 57 国内動向

source: Automotive World 2015 @Jan. 2014

自動車業界として、3団体で役割分担をして活動中

事例

18



/ 57

対象システム

ライフサイクル

3.3 対象定義

2020年以降で全体最適なAutomotive Security Controlを検討する

V2V: Vehicle-to-Vehicle V2I: Vehicle-to-Infrastructure EVSE: Electric Vehicle Service Equipment DCM: Data Communication Module

LTE: Long Term Evolution BT: Bluetooth ITS: Intelligent Transport Systems PLC: Power Line Communication GW: Gateway 19

モビリティ社会@2020年

Smart phone

車々･路車間通信 V2V

専用線 diagnosis

専用線 EVSE

車

・・・

・・・

・・・

パワトレ

シャシ

ボデー

ECU02

ECU21 ECU22

ECU11 ECU12

ITS

ECU01

車載GW

BT Wi-Fi

車内ＧＷ

車外ＧＷ

DCM

PLC

Cloud

Bluetooth Wi-Fi

制御系

情報系

不正機器

取付け

人命

プライバシ

財産※

不正機器

取付け・改造

保護対象資産脅威

V2I ※ 課金、知的財産、車両盗難

専用無線

（LTE）

盗聴・改ざん

なりすまし等

Data Center

・・・

評価技術

セキュリティポリシ

セキュリティ分析

要件・仕様

設計・評価

セキュリティ機能活用

保守（リプロ含む）

サービス・運用

脅威/リスク

鍵廃棄

機能停止

・・・セキュリティコスト

・・・

インシデント管理

対策技術

企画開発廃棄運用



/ 57

ADAS Powertrain

Chassis

Body

Multimedia


専用無線（LTE）

Smart phone

車々･路車間通信V2V

専用線diagnosis

専用線EVSE

車

・・・

・・・

・・・

パワトレシャシ

ボデー

ECU02

ECU21 ECU22

ECU11 ECU12

ITS

ECU01

車載GW

BTWi-Fi

車内ＧＷ

車外ＧＷ

DCM

PLC

Data Center

Cloud

BluetoothWi-Fi

制御系

情報系

人命

プライバシ

財産※V2I

ドメインマッピング

本講演では、クルマの中を4つのドメインとする

20

車内（in-vehicle）

対象システム

車外～通信モジュール

人命

ﾌﾟﾗｲﾊﾞｼ

財産

被害分類



/ 57

Quality

既存の対応

これまでのSecurity Controlは財産とプライバシを中心に対応してきた

Powertrain

Chassis

Body

ADAS

Multimedia Reprograming Security

Functional Safety

Car Security Information Security

21


対象システム


人命


財産

被害分類



/ 57 3.4 将来予想

ADASでは品質・セーフティに加えてサイバーセキュリティにも対応する必要がある

Powertrain

Chassis

Body

beyond ADAS (Automated or

Autonomous Driving) ADAS

Focus: Cybersecurity FBI warns driverless cars could be used as 'lethal weapons‘ @Jul. 2014

Reprograming Security

Information Security Car Security

Functional Safety

Quality

22

Multimedia


対象システム


人命


財産

被害分類



/ 57 Agenda

1. Introduction





6. Summary

23



/ 57

＜お伝えしたいこと＞4. デンソーのセキュリティコンセプト

課題と考え方

課題

クルマの資産は、IT業界と共通する「プライバシ、財産」に加えて、①「人命」も守る必要

がある。またお客様がクルマを利用される ②長期間（例：15年以上）のセキュリティ対応

が必要となる。

考え方

①は品質・機能安全の強みを活かした新たなコンセプトを考案する。

一方、②は車業界として考え方をつくる必要がある。

弊社のセキュリティコンセプト

IT業界の一般的なセキュリティコンセプト「多層防御（DEFENSE in DEPTH）」を

クルマに適用した。IT業界との主な相違点は、多様な資産に合わせて、これまでの

クルマでの対応も加えて、多層防御を強化した点である。

＜ご参考＞

攻撃起点を（a）リモート、（b）車内接続コネクタ（DLC*）、（c）ECU直接における

多層防御の事例を紹介しています。 * DLC: Data Link Connector

24



/ 57 4.1 セキュリティの課題

業界レベルでの相場作りが必要である

V2V: Vehicle-to-Vehicle V2I: Vehicle-to-Infrastructure EVSE: Electric Vehicle Service Equipment DCM: Data Communication Module

LTE: Long Term Evolution BT: Bluetooth ITS: Intelligent Transport Systems PLC: Power Line Communication GW: Gateway 25

攻撃の進化攻撃者の動機の多様化セーフティへの影響

セキュリティ技術の進化脆弱性対策

① 保護対象資産が多岐に渡る（人命、プライバシ、財産）

② 脅威とSecurity Controlとの適正なバランス ※長期間（例：15年以上）

課題赤字：IT業界との違い


Smart phone


専用線 diagnosis

専用線 EVSE

車

・・・

・・・

・・・

パワトレ

シャシ

ボデー

ECU02

ECU21 ECU22

ECU11 ECU12

ITS

ECU01

車載GW

BT Wi-Fi

車内ＧＷ

車外ＧＷ

DCM

PLC

Data Center

Cloud

Bluetooth Wi-Fi

制御系

情報系

不正機器

取付け

人命

プライバシ

財産※

不正機器

取付け・改造

※ 課金、知的財産、

車両盗難

保護対象資産脅威

V2I

専用無線

（LTE）

盗聴・改ざん

なりすまし等



/ 57 4.2 考え方（Automotive Security Control）

クルマの特徴

Multimedia Domain

変化の早い車の外との接続が必要

お客様のニーズから製品周期も短い

Control Domain

人命に関わる事故に至る可能性あり

既存対策（品質・安全）もある

考え方

Multimedia Domain

IT標準技術を流用する

Control Domain

既存の車業界の考え方をベースに

不足分はIT標準技術を流用する

Security

既存資産

IT技術ベース

Quality

Safety

MM

Domain

Control

Domain

• MMと制御のアーキテクチャレベルの分離

• 品質・セーフティ機能の脆弱性の低減

26

Smart phone


専用線 diagnosis

専用線 EVSE

車

・・・

・・・

・・・

パワトレ

シャシ

ボデー

ECU02

ECU21 ECU22

ECU11 ECU12

ITS

ECU01

車載GW

BT Wi-Fi

車内ＧＷ

車外ＧＷ

DCM

PLC

Data Center

Cloud

Bluetooth Wi-Fi

制御系

情報系

V2I

専用無線

（LTE）



/ 57

Vechicle

Secure Logging

Anomaly Detection

4.3 セキュリティコンセプト

• Privacy and Property : ICT*をベースに防御する

• Safety : さらなるセーフティ強化とICTの融合で防御する

* Information and Communication Technology

Safety

Attacker

Exte

rnal F

irew

all

Exte

rna

l Tra

nsa

ctio

n D

efe

nse

Exte

rnal E

CU

Defe

nse

Basic ICT In

tern

al G

W D

efe

nse

Inte

rnal T

ransactio

n D

efe

nse

Inte

rna

l Fire

wa

ll

Inte

rnal E

CU

Defe

nse

Extended ICT

Property

Privacy

Property (Car Theft)

Syste

m S

afe

ty

Safety & Security

Safe

ty M

echanis

m D

efe

nse

Outside

保護資産※毎に既存資産も活用して多層防御する ※情報以外も含む

27



/ 57 セキュリティコンセプト（セーフティ関連）

クルマの安全を既存セーフティと多層のSecurity Controlで防御する

Protect the entry point Prevent unauthorized access

Protect the end point Detect hacking, Transit to safe state after detecting hacking

Vehicle

ECU

ECU ECU ECU ・・・

MCU

Remote

Agent 2.internal

GW

1.external

GW

3.MCU

firewall

check

1. Remote

2. In-vehicle network

3. ECU Direct

secure

code

secure code

3つのAttack Surfaceに対して、entryとend pointの多層防御コンセプトで防御する

事例

28

http://johndayautomotivelectronics.com/wp-content/uploads/2012/07/denso-7-25-12-画像センサー（背景有）.jpg



/ 57 多層防御 from Remote Hacking 1/2

Protect the entry point

e.g. V2X

Vehicle

ECU


MCU

Remote

Agent

external

GW

Message

Tampering

Device

Spoofing

• Filtering: pass only permitted message (white list)

• Authentication: confirm validness of sender and message

事例

29



/ 57 多層防御 from Remote Hacking 2/2

Protect the end point

e.g. V2X

Vehicle

ECU


MCU

Remote

Agent

external

GW

Data source

Tampering

check

• NEVER control vehicle only by remote message

• Compare with own trustworthy sensor

事例

30

http://johndayautomotivelectronics.com/wp-content/uploads/2012/07/denso-7-25-12-画像センサー（背景有）.jpg



/ 57 多層防御 from In-vehicle Network Hacking 1/3


OBD II port: using for the on-board diagnostic and ECU software update port

Vehicle

ECU


MCU

Remote

Agent

source: minkara.carview.co.jp

事例

31



/ 57 多層防御 from In-vehicle Network Hacking 2/3



Vehicle

ECU


MCU

Remote

Agent

Invalid Message

Injection

source: minkara.carview.co.jp

• Block the OBD II port by firewall ( filtering and authentication )

事例

32



/ 57



Vehicle

ECU


MCU

Remote

Agent internal

GW

source: minkara.carview.co.jp check

Invalid Message

Injection

• Detect anomaly messages. e.g. message authentication Code

• Limit or stop function by existing safety mechanisms

多層防御 from In-vehicle Network Hacking 3/3 事例

33



/ 57 多層防御 from ECU Direct Hacking 1/3


MCU debug/flash port: JTAG, NBD, ICE, Serial, …

Vehicle

ECU


MCU

Remote

Agent

source: www.lartmaker.nl

void main() {

int number1;

int number2;

if ( ….

}

void main() {

int number1;

int number2;

if ( ….

}

事例

34



/ 57 多層防御 from ECU Direct Hacking 2/3


MCU debug/flash port: JTAG, NBD, ICE, Serial, …

Vehicle

ECU


MCU

Remote

Agent

source: charliex2.wordpress.com

Reverse

Tampering

MCU

firewall void main() {

int number1;

int number2;

if ( ….

}

void main() {

int number1;

int number2;

if ( ….

}

void main() {

int number1;

int number2;

if ( ….

}

• Control debug/flash port by authentication

• Authenticate with HW support e.g. MCU access control

事例

35



/ 57


MCU = superfine CIRCUIT

Vehicle

ECU


MCU

Remote

Agent

MCU

firewall source: www.freeimages.com

non-contact: Fault Injection,

Side channel

Contact: Open the package,

Analysis circuit pattern,

Probe wiring source: www.altech.co.jp

Direct Reverse, Tampering

void main() {

int number1;

int number2;

if ( ….

}

void main() {

int number1;

int number2;

if ( ….

}

void main() {

int number1;

int number2;

if ( ….

}

check void main() {

int number1;

int number2;

if ( ….

}

• Pre-attach the security code to program

• Check whether tampered or NOT e.g. Secure Boot

with tamper resistance

多層防御 from ECU Direct Hacking 3/3 事例

36



/ 57 Short Break

安全設計の概要説明

37



/ 57 ＜お伝えしたいこと＞ショートブレイク

はじめに

これまでの車業界での品質・安全をご理解いただくことで、

多くの方々にクルマのサイバーセキュリティをご検討いただけれると幸いです。

事例：モータ制御システム

狙い：意図せぬ誤作動・不作動による事故の低減

機能安全ISO 26262における検討の流れ（開発フェーズのみ）ハザード分析・リスク評価：対応すべきトップ事象と安全目標を定める

安全分析：故障原因を特定する（例：FTA, FMEA）

安全要件定義：適切な安全機能を定義する

安全設計：安全要件に基づき、設計する

安全検証：安全設計のISO 26262要件適合を検証する

安全テスト：対象システム・コンポーネントをISO 26262要件を踏まえてテストする

安全の考え方

クルマ全体はシステムセーフティ（機能安全含む）で守る。

セキュリティ要因はリスクを踏まえてセーフティまたセキュリティで対応する。

OEM・サプライヤで連携した活動（階層毎に役割分担）

FTA: Fault Tree Analysis FMEA: failure mode effect analysis 38



/ 57

ハザード（例）：意図せぬ急激な誤作動

セーフティゴール（例）：異常時は

指定の安全状態に移行する

セーフティコンセプト（例）

故障検出

センサ：冗長、・・・

ECU：指令値演算チェック、

センサ値の常時比較、・・・

処置：モータ回転を停止

モータ制御システム

セーフティメカニズム

事例

39

概要

ドライバの指示により、

走・曲・止に関わるアクチュエータを制御する

定義

ドライバ指示の把握：センサA（SA）

アクチュエータの状態把握：

モータポジションセンサ（SB）

ドライバの指示とモータ状態より、

コンピュータ（ECU）がアクチュエータ（モータ）

への指令値を演算、送信する

基本機能

SA M ECU

SB

センサA

モータポジションセンサ

ECU : Electronic Control Unit

モータ

M

SB1

SA2

SA1

SB2

ECU

センサ冗長センサ冗長

自己診断

指令値演算チェック



/ 57 故障要因と対策イメージ（現状の一例）

Fault Tree Analysis Unintended severe failure operation

COMMAND Failure INPUT Failure OUTPUT Failure

SA1 error Comparison with SA2

open

Command value

error SB1 error

Motor

error

Output F/B

detection

overcurrent … … short … RAM change … spoofing tamper

セキュリティはviolation of safety goalの一要因である

Comparison with SB2 Self test

for MCU

spoofing tamper spoofing tamper spoofing

for MCU tamper

ECU Auth.

ECU

error

spoofing

for ECU

ECU

error detection

…

… …

… …

Security Control

Safety Mechanism

Safety cause

Security cause

Safety Mechanisms protect

most of security issues

事例

40



/ 57

Fault Tree Analysis

Sensor Auth.

Tamper Proof

Sensor Auth.

Tamper Proof Secure Boot

Actuator Auth.

Tamper Proof ECU Auth.

故障要因と対策イメージ（将来の一例） Unintended severe failure operation

COMMAND Failure INPUT Failure OUTPUT Failure


open

Command value

error SB1 error

Motor

error

Output F/B

detection

overcurrent … … short … RAM change …

Comparison with SB2 Self test

for MCU

ECU

error

spoofing

for ECU

ECU

error detection

…

… …

… …

Security Control

Safety Mechanism

Safety cause

Security cause

spoofing tamper spoofing tamper spoofing tamper

Safety Mechanisms protect

certain level of security issues

Security Controls add on some modules

spoofing

for MCU tamper

セーフティメカニズムの脆弱性を低減することでクルマ安全を確保する

事例

41



/ 57 Agenda

1. Introduction





6. Summary

42



/ 57 ＜お伝えしたいこと＞5. デンソーの活動

活動概要

適正なセキュリティレベルの製品の継続的な提供を目指して、会社レベルの仕組みを構築

中。最終的には会社の継続的な管理下の元、①セキュリティ製品開発、②出荷後の脆弱性

対応、③インシデント発生時の緊急対応を目指す。

セキュリティ開発プロセス

ISO/IEC 15408※には、（a）分散開発での役割分担と（b）セーフティ&セキュリティの規定が

不足している。（a）ISO 26262の役割分担を拡張し、（b）クルマ全体はシステムセーフティで

守る基本的な考え方に基づき、セーフティと疎な関係のセキュリティプロセスを開発中。

セキュリティ設計基盤

適正なセキュリティレベルを目指して、IT標準を踏まえた社内標準セキュリティコントロールを

開発中。また加えて効率化のためにセキュリティプラットフォームを構築中。

セキュリティ評価基盤

品質・機能安全などの評価基盤を活かした、脆弱性に特化した評価基盤を構築中。

要件定義・仕様開発・設計・テストの工程における評価項目・基準・手順を開発中。

※ICカードや複合プリンタなどで多数実績のあり

43



/ 57 5.1 活動概要

目的：適正なセキュリティ製品をお客様にご提供し続ける

活動：モビリティ社会2020年を目指してセキュリティ共通基盤を開発し

製品試行により現場で使えるレベルにする

課題：

V2V: Vehicle-to-Vehicle V2I: Vehicle-to-Infrastructure EVSE: Electric Vehicle Service Equipment DCM: Data Communication Module LTE: Long Term Evolution BT: Bluetooth ITS: Intelligent Transport Systems PLC: Power Line Communication GW: Gateway MM: Multimedia

44

専用無線

（LTE）

smart phone

V2I


専用線 diagnosis

専用線 EVSE

クルマ

・・・

・・・

・・・

情報系

パワトレ

シャシ

ボデー系

ECU02

ECU21 ECU22

ECU11 ECU12


ITS

ECU01

車載GW

BT Wi-Fi

車内ＧＷ

車外ＧＷ

DCM

PLC

Data Center

Cloud

Bluetooth Wi-Fi

全体最適な全社標準

セキュリティ要件定義

①対策方針非競争／競争技術の開発

とIT技術の車載適用

②技術開発

既存のセキュリティポリシとの

整合と全社活動の規定化

⑤運用管理コンセプト提案と

最新技術の目利き

④人材育成標準化戦略と

市場・業界動向の把握

③標準化



/ 57 進め方

要件：会社の仕組みとして①～③を管理していること

①Development: SOP前に相場に合った製品企画・

開発・製造をしていること

②Maintenance: SOP後に発覚する脆弱性を常に

①把握・②製品インパクト判断・

③アップデートにより、

適正なセキュリティレベルを

維持していること

③Incident Response: インシデント発生時は速やかに対応すること

First Step:

Automotive Security Process

Automotive Security Design Security Platform

Automotive Security Evaluation Vulnerability Review and Test

Development

45

Security Management

Development

Incident

Response

Maintenance

SOP: Start Of Production



/ 57

製品とセキュリティ開発との関係を定義する

セキュリティ開発プロセスを現場で使えるレベルにするために、

設計基盤と評価基盤を構築する

セキュリティ共通基盤（開発フェーズ）

セキュリティ共通基盤を構築中

46

共通基盤セキュリティ機能開発

製品開発

⑦脆弱性テスト基準

⑥脆弱性

検証基準

評価基盤設計基盤

基本方針

要件定義

E/Eシステム開発

E/Eコンポーネント開発

HW/SW設計

テスト

セキュリティ要件定義

システム

セキュリティ仕様開発

コンポーネント（HW/SW）

セキュリティ仕様開発

セキュリティテスト

③相場観

プロセス ②セキュリティ開発プロセス

④セキュリティ

コントロール

（対策技術）

⑤実装技術

①セキュリティポリシ



/ 57 共通基盤のポイント 47

品質

共通基盤

IEC 62443 ISO 15118 ISO 13185

e.g. EC(FP7) C2C-CC

SAE

セキュリティ

共通基盤

運用管理基盤 • セキュリティポリシ

• 規程類

• 組織体制

• プロセス

・・・

機能安全

共通基盤評価基盤 •評価手法

•評価基準

•評価環境

・・・

基盤技術

支援文書

組織体制

教育体系

設計基盤 •ｱｰｷﾃｸﾁｬ

•対策要件

•対策技術

・・・協調

ISO/IEC 27000s ISO/IEC 15408 ISO/IEC 19790

融合

General standards

Other standards

EU/US activities

グローバル標準と協調し、弊社内の既存基盤とセキュリティとを融合する

弊社内



/ 57

現状の国際規格

デンソーの懸念点

セキュリティセーフティ

全産業向け ISO/IEC 15408 （2001年制定

ed.2 2009改訂）

IEC 61508 （2000年制定）

車業界未制定 ISO 26262 （2011年制定）

被害分類 ISO 15408スコープ

財産対象

プライバシ

セーフティ対象外

被害分類

設計階層 ISO 15408スコープ

車両対象外

システム

明確な定義なしハードウェア

ソフトウェア

開発フェーズ

5.2 自動車向けセキュリティ開発プロセス

ISO/IEC 15408にはクルマとしては不足するところが存在する

48



/ 57

セーフティ&セキュリティ（S&S）

セーフティとの関連付けが必要である

既存資産の脆弱性を考慮しつつ、

有効活用する手法が必要である Unintended severe failure operation

COMMAND FailureINPUT Failure OUTPUT Failure


open

Command valueerror

SB1 errorMotorerror

Output F/Bdetection

overcurrent… …short …RAM change … spoof ing tamper

Comparison with SB2Self testfor MCU

spoof ing tamper spoof ing tamper spoof ing

f or MCUtamper

ECU Auth.

ECUerror

spoof ing

f or ECU

ECUerror detection

…

… …

… …

Safety mechanisms protect

most of security issues

役割分担

OEM・サプライヤ（Tier1…n）の

役割の分担の定義が必要である

ISO 15408では分散開発の規定なし

プロセスの課題

車業界の課題を共有し、標準化を目指したい

In-vehicle Device

Target System

Powertrain

Chassis

Body

Multimedia

Functional Safety

Car Security

QualityInformation Security

beyond ADAS(Automated Driving?)

Sa

fety

Asset Pro

pe

rty/ P

riva

cy

ADAS

Cloud to Connected Device

Reprograming Security

既存資産（車業界の強み）を可能な限り流用する（例）品質とセーフティ

Threat analysis and riskassessment

Threat analysis and

risk assessment

Specification of security goals

Threat analysis and

risk assessment

Specification of functional security requirements

Functional security

concept

Specification of technical security requirements

Specification of the technical

security requirements

Hardware securityrequirements

Specification of hardware


Software securityrequirements

Specification of software


Tie

r1

Tie

r2

OE

M

Sp

ecif

icati

on

an

d m

an

ag

em

en

t o

f se

cu

rity

req

uir

em

en

ts

Pro

du

ct d

ev

elo

pm

en

tC

on

ce

pt p

hase

49



/ 57

着眼点

1. 役割分担はISO 26262のDIA*をベースに検討する

2. セキュリティはFTAのトップ事象（クルマが危険な状態）に至る一要因である

セーフティメカニズムの脆弱性をSecurity Controlで守る

プロセスの考え方（セーフティ関連のみ）

* Development Interface Agreement

Main Function e.g. ACC, LKA

Safety Mechanism e.g. Driver Override

Security Control

• Access Control to DLC

• Domain Isolation of networks

• Authentication between ECUs or ECU-sensor

• Message Authentication of critical data

• Secure boot

e.g.

Existing

Sensor Auth.

Tamper Proof

Sensor Auth.

Tamper Proof Secure Boot

Actuator Auth.

Tamper ProofECU Auth.

Unintended severe failure operation

COMMAND FailureINPUT Failure OUTPUT Failure


open

Command valueerror

SB1 errorMotorerror

Output F/Bdetection

overcurrent… …short …RAM change …

Comparison with SB2Self testfor MCU

ECUerror

spoof ing

f or ECU

ECUerror detection

…

… …

… …

spoof ing tamper spoof ing tamper spoof ing tamper

Security Controls add on some modules

spoof ing

f or MCUtamper

Existing

New

50



/ 57 51 S&Sの考え方

参考

アプリケーション依存と非依存とに分けて検討する

アプリ依存：安全機能の脆弱性を守る

アプリ非依存：特権機能の脆弱性を守る車業界の最低レベルを定義する

以降は、アプリケーション依存のワークフローについて解説する

MAIN FUNCTION e.g. Powertrain, Chassis, ADAS

SAFTY MECHANISM e.g. Driver Override

SECURITY CONTROL

Existing

Existing

New

SUPERVISORY

FUNCTION

Security Control Vehicle

System

Hardware

Software

Vehicle

System

Hardware

Software

Security Control

Security Control

Security Control

Dependence on Application Independence on Application

Existing

New

Product

e.g. 適合, 故障診断, ソフト更新,

デバッグ, 製造テスト, 不良解析

min. Attack DB

懸念：攻撃のターゲットになりつつある

課題：各社の競争領域かつ仕様公開難

提案：業界の底上げの目的で、

各社で連携してmin.攻撃DBを構築する



/ 57 S&Sワークフロー概要

考え方

セキュリティ検討の入力は、セーフティ要件である

Safety Analysis

Safety Requirement

Safety Verification

Safety Test

Vehicle

System

HW

SW

System Basic Design

Functional Basic Design

VA, FCR

H&R, Safety Goal

System Design Vul. Veri.

T&R, Security Goal

Safety Veri.

Function Design

SA, FSR

VA, TCR

SA, TSR

Vul. Veri. Safety Veri.

Hardware Design Vul. Veri. Safety Veri.

VA, HCR

SA, HSR HW Basic Design

Software Design


VA, SCR

SA, SSR SW Basic Design

Vul.

Test

Security (new) Safety (existing)

H&R: Hazard and Risk assessment T&R: Threat and Risk analysis SA: Security Analysis Safety Veri.: Safety Verification VA: Vulnerability Analysis Vul. *: Vulnerability * V&V: Verification and Validation

*SR: * Safety Requirement *CR: * Cybersecurity Requirement F*R: Functional * Requirement T*R: Technical * Requirement H*R: Hardware * Requirement S*R: Software * Requirement

Vulnerability Analysis

Security Requirement

Design

Test

Vulnerability Verification

Vulnerability Test

Safety

Test

Software V&V

Vul.

Test Safety

Test

Hardware V&V

Vul.

Test Safety

Test

System V&V

Vul.

Test Safety

Test

Vehicle V&V

52



/ 57 S&Sワークフロー概要

考え方

セキュリティ検討の入力は、セーフティ要件である

Safety Analysis

Safety Requirement

Safety Verification

Safety Test

Vehicle

System

HW

SW

System Basic Design

Functional Basic Design

VA, FCR

H&R, Safety Goal

System Design Vul. Veri.

T&R, Security Goal

Safety Veri.

Function Design

SA, FSR

VA, TCR

SA, TSR


Hardware Design Vul. Veri. Safety Veri.

VA, HCR

SA, HSR HW Basic Design

Software Design


VA, SCR

SA, SSR SW Basic Design

Vul.

Test

本ワークフローのたたき台を完成し、製品検証中

Security (new) Safety (existing)

H&R: Hazard and Risk assessment T&R: Threat and Risk analysis SA: Security Analysis Safety Veri.: Safety Verification VA: Vulnerability Analysis Vul. *: Vulnerability * V&V: Verification and Validation

*SR: * Safety Requirement *CR: * Cybersecurity Requirement F*R: Functional * Requirement T*R: Technical * Requirement H*R: Hardware * Requirement S*R: Software * Requirement



Design

Test


Vulnerability Test

Safety

Test

Software V&V

Vul.

Test Safety

Test

Hardware V&V

Vul.

Test Safety

Test

System V&V

Vul.

Test Safety

Test

Vehicle V&V

53

車両レベルの脅威・リスク分析により、クルマとしてのセキュリティゴール（SG）を定義する

システムレベル以降は、SGとセーフティ要件を踏まえて詳細設計・テスト（脆弱性観点含む）する ※トレーサビリティ



/ 57

コンセプト：セキュリティプラットフォーム*で製品を保証する

セキュリティプラットフォームの開発・保守はセキュリティ専門チームが実施する

セキュリティワークフロー



Security Specification

Security Implementation

Target Definition

Threat Analysis

Risk Analysis

Security Goal

Vulnerability

Verification

Vulnerability

Test

Vehicle, System, HW, SW

Security Product Development

Functional Safety Requirement

Vul. Veri. Method

Vul. Test Method

Std. Vul. Test DB

Attack DB

Security Platform

Maintenance Development

Vulnerability DB

Attack DB

Vulnerability DB

* 十分に脆弱性を低減済み

（例：第3者評価）

Requirement Method

Threat &Risk Analysis

Security Manual

Security Design Rule Std. Design

DB

Attack DB

Security Platform

Development Maintenance

Vulnerability DB

Std. Spec. DB

Attack DB

Vulnerability DB

54



/ 57





Target Definition

Threat Analysis

Risk Analysis

Security Goal

Vulnerability

Verification

Vulnerability

Test


Security ProductDevelopment

RequirementMethod

Threat &RiskAnalysis

SecurityManual

SecurityDesign RuleStd. Design

DB

AttackDB

Security Platform

DevelopmentMaintenance

VulnerabilityDB

Std. Spec.DB

AttackDB

VulnerabilityDB

5.3 セキュリティ設計基盤

前提条件

ITとクルマのセキュリティ要件は類似

主な違いはドメイン毎のパフォーマンス

標準セキュリティ設計仕様

基本方針

IT標準仕様を流用する

セキュリティ仕様

Authentication: PKI, CHAP

Encryption, Hash, PRNG: RSA, ECC, AES, …

Tamper Detection: MAC, Digital Signature

Key Management: DH, Symmetric Key

Logging

Anomaly Detection

本セキュリティ仕様で製品適用中

MAC: Message Authentication Code DH: Diffie-Hellman

LTE

Smart phone

V2I w ireless comm.V2V

diagnosis

dedicated lineEVSE

vehicle

…

…

…

power train

chassis

body

ECU02

ECU21 ECU22

ECU11 ECU12

ITS

ECU01

VGW

BTWi-Fi

inte

rnal G

W

exte

rnal G

W

DCM

PLC

Data Center

Cloud

BluetoothWi-Fi

Control domain

MM domain

dedicated line

PKI: Public Key Infrastructure CHAP: Challenge-Handshake Authentication Protocol PRNG: Pseudo Random Number Generator ECC: Elliptic Curve Cryptography 55



/ 57

前提条件：既存のV&Vで品質・セーフティは確認済み

標準セキュリティ評価仕様

基本方針：IT標準評価の考え方を流用する





Target Definition

Threat Analysis

Risk Analysis

Security Goal

Vulnerability

Verification

Vulnerability

Test


Security ProductDevelopment

Vul. Veri.Method

Vul. TestMethod

Std. Vul. TestDB

AttackDB

Security Platform

MaintenanceDevelopment

VulnerabilityDB

AttackDB

VulnerabilityDB

Common

Vulnerability DB: T.B.D.

Attack DB: Well-known attack surface,

the ports used at limited development and

production


based on ISO/IEC 15408-3, ISO/IEC 18045

and ISO/IEC 19790

Vulnerability Test

Fuzzing and Penetration Test

based on IEC 62443-4 and ISO/IEC 18045

5.4 セキュリティ評価基盤

評価基盤には多々課題あり（例）評価要件、評価コスト大、DBの最低ラインの共有

V&V: Verification & Validation ISO/IEC 15408 ≒ CC (Common Criteria) ISO/IEC 18045 ≒ CEM (Common Evaluation Method) ISO/IEC 19790 ≒ FIPS 140-2 IEC 62443-4 ≒ EDSA (Embedded Device Security Assurance) 56



/ 57 6. Summary

背景・動向

クルマがIoTの一部となりつつあり、サイバーセキュリティの重要性は高まっている

車業界でセキュリティの標準化（≒ISO 26262）の進捗は思わしくなく、グローバルな相場の

議論が難しい状況にある

弊社の活動

クルマのセキュリティを確立には、ライフサイクルとサプライチェーンを踏まえた新たなセキュリ

ティの枠組みが必要である。このため標準化活動と個社も仕組みの構築が必須である。

本講演ではセキュリティ開発の中でベースとなる開発プロセスにフォーカスして、懸案の

「セーフティ&セキュリティ（S&S）」を中心に説明した。

セキュリティの目的を「セーフティメカニズムの脆弱性を守るため」と定義し、ISO 26262における各階

層からの安全要件を入力に、脆弱性分析しセキュリティ要件を定義するワークフローを提案した。

なお、S&Sにおける脅威分析・リスク分析の結果はISO 26262と同様となるが、セキュリティゴールは

車両メーカからのセキュリティ対応レベルの要求となるため非常に重要である。

今後の課題

欧米は自動運転に向けて活動を加速している。日本も欧米同様の活動の加速に加え、

IoTの観点より、他業界とも連携したグローバルな活動が必要である。

57



/ 57

Thank you for your attentions

58 58 58

Documents

57 つながるクルマのセーフティ セキュリティ · This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced

57 つながるクルマのセーフティセキュリティ · This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced