Upload
trinhhuong
View
223
Download
0
Embed Size (px)
Citation preview
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 Jan. 22, 2015
つながるクルマのセーフティ&セキュリティ
Safety and Security for Connected Vehicles
Hiroshi Hayakawa
General Manager
DP-Cyber Security R&D Department
Basis Electronic Technology Unit
DENSO CORPORATION
The 12th Workshop on Critical Software Systems (12thWOCS2)
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 本講演でお伝えしたいこと 1/2
弊社のサイバーセキュリティに関する認識
スマートフォンの急激な普及、東京オリンピックに向けた高度運転支援の高まり、
エネルギー問題などを受けて、クルマもIoTの一部になりつつある。
このためサイバーセキュリティの重要性が高まっている。
クルマの資産は、IT業界と共通する「お客様の個人情報:プライバシ」、
「課金・OEMやサプライヤなどの知的財産:財産(情報)」に加えて、
「車両盗難:財産(モノ)」や「人命:セーフティ」と多岐に渡る。
このためIT業界の知見を流用しつつ、車業界としてのこれまでの強みである
「品質・安全」を活かした新たなサイバーセキュリティの考え方を作る必要がある。
またこの考え方はお客様に安心・安全を提供するために、
車業界だけでなく、連携先の他業界も含めてグローバルで標準化も必要である。
IoT: Internet of Things 1
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 本講演でお伝えしたいこと 2/2
弊社の活動
クルマのサイバーセキュリティを確立するには、車業界のライフサイクルと
サプライチェーンを踏まえた新たなサイバーセキュリティの枠組みが必要である。
このため標準化活動および個社としての仕組みの早期構築が必要である。
個社としては、会社の継続的な管理下の元、以下仕組みが重要。
①製品に対する適正なセキュリティ開発する仕組み
②出荷後も脆弱性に対応する仕組み
③インシデント発生時に緊急対応する仕組み
本講演では最初のステップである①について、(a)開発プロセス、
(b)設計基盤(セキュリティコントロール)、(c)評価基盤を中心に紹介する。
今後の活動
欧米は自動運転に向けて活動を加速している。特に②③は個社及び日本の車業界
だけでなく、他業界も含めてグローバルで連携した活動が必要である。
またこれらの活動を継続するためのビジネスモデルも必要となる。
2
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 Agenda
1. Introduction
2. Future of Motorized Society
3. Trends of Cybersecurity
4. DENSO’s Concept
5. DENSO’s Activities
6. Summary
3
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 会社概要
1949年12月16日
(就業人員ベース)
設 立
資本金
売上高
経常利益
従業員数
(日本62、 北米26、欧州35、豪亜56、その他6)
連結子会社数
(日本13、北米4、欧州3、豪亜11、その他2)
持分法適用関連会社数
1,874 億円
185
33
連結
単独
4兆 959 億円
2兆 4,908 億円
連結
単独
3,777 億円
2,223 億円
139,842 名
38,581 名
連結
単独
4
/ 2014年3月31日現在 ※その他、非連結子会社が2社あります。 本社:愛知県刈谷市
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 2020年の目指す姿
にこだわり、今後10年の私たちの使命として取組む
負の影響を最小化
クルマの利便性・喜びを世界中の人々に届ける
地球環境の維持 安心・安全
正の価値を最大化
クルマが世界の人々に愛され続けるために
デンソーグループ 2020年長期方針 http://www.denso.co.jp/ja/aboutdenso/corporate/vision/
5
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 当社の主要製品 6
快 適・利 便
ハイブリッド車・電気自動車用製品、
ガソリンエンジンマネジメントシステム、
ディーゼルエンジンマネジメントシステム、
スタータ、オルタネータ、ラジエータ、 など
安心・安全 走行支援システム用センシングシステム、
ABS/ESC用アクチュエータ&コンピュータ、
ヘッドランプコントロールシステム(AFS)、
エアバッグ用センサ&コンピュータ、
車両周辺監視システム、コンビネーションメータ、
ワイパシステム、 など
カーエアコンシステム、
バス用エアコン、空気清浄器
カーナビゲーションシステム、ETC車載器、
リモートセキュリティシステム、
リモートタッチコントローラ、スマートキー、
車両運用システム(ドライビングパートナー)、など
環 境
ETC : Electronic Toll Collection System ABS : Antilock Brake System ESC : Electronic Stability Control AFS : Adaptive Front-Lighting System
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 Agenda
1. Introduction
2. Future of Motorized Society
3. Trends of Cybersecurity
4. DENSO’s Concept
5. DENSO’s Activities
6. Summary
7
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 2.1 モビリティ社会の課題
地球・自然・社会
クルマのニーズ
地球温暖化 CO2排出の低減、CO2フリー
原油依存の限界 パワートレインの多様化
車両・物流集中 交通事故低減、モーダルシフト
高齢化 快適・利便な交通手段
情報化 常時接続高速通信の活用
ライフスタイル変化 クルマの新たな価値の提供
8
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 2.2.1 安全 - 世界の交通事故死者数と日本における推移
新興国は日本の1960年代の状況 エアバッグ、シートベルト、ABS/ESCの普及が必要 日米欧はエアバッグ、ABS/ESCは普及 運転支援システムの普及が必要(走行支援、視界支援等)
(千人)
1270.0(’04) 1170.7 (’98) 世界
5.3(’98) ブラジル
36.5(’07) 32.2 東南アジア
74.7 インド
73.7 中国
39.1 (’07) 55.5 欧州25
34.0 42.1 米国
4.9 9.9 日本
変化 2009 1996
67.8
114.4(’07)
7.1 (’07)
世界の交通事故死者数
事故数
(千件
)
市場車両台数
(百万台
)
1950 1960 1970 1980 1990 2000 2010
15
20
10
0
5
、 事故死者数
事故数
車両台数
0
50
100
150
200
事故死者数
(千人
)
• 取締、安全教育強化
• インフラ整備
• シートベルト義務化
• 前方衝突試験義務化
• エアバッグ, ABS100%装着化
日本の交通事故推移
(出典)
・Based on various statistical data in 2009 (Exhibited by: Global status report on road safety (WHO), European Road Statistics 2009 (IRF), Transportation conditions report of major countries(MLIT), NPA, NHTSA, The Ministry of Public Security of the People's Republic of China.)
・EU: 25 countries (excepted Bulgaria, Romania from EU-27)
・South-Eastern Asia: Philippines ('06), Malaysia ('07), Singapore ('07), Indonesia ('07), Thailand ('07) ABS : Antilock Brake System ESC : Electronic Stability Control
9
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 2.2.2 情報通信 - 将来のユビキタス社会における車を取巻く環境
いつでも、どこでも、誰でも、ストレスなく、ネットワークから様々なサービスを享受
スマートグリッド、マイクログリッド
BATT
運用管理センター
BATT
発電
発電 送電 管理
モニタリング
PLC or 無線
スマートメータ
充電スポット
継続走行距離
電力マネジメント
ITサービス利用増加 POI
地図
経路計算
・・・
クラウド
常時接続
スマートフォン連携
クラウド活用
ユビキタス社会
付加価値は車載器からセンターへ
車室内操作表示系変化
•持ち込まれる情報機器の増加
•環境・情報の新たな情報
•操作・表示の氾濫
EV、PHVは電力・通信インフラの中で
電力貯蔵装置として利用される社会
PLC : Power Line Communication EV : Electric Vehicle PHV : Plug-in Hybrid Vehicle
10
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 2.3 モビリティ社会の将来像
社会インフラとの連携による新しいモビリティ社会に
膨大なデータの
統合・解析・監視・管理
安全性
自動車メーカー、サプライヤー 家電 エネルギー、ユーティリティー 公的機関 電気通信 住宅建設 エンターテインメント、放送 金融サービス
V2V通信
カー・ シェアリング/ パーキング
出典:IBM IBV “Automotive 2020”
通信 GPS 次世代携帯電話 Wi-Fi/WiMAX
V2X
統合プラットフォーム
スマート・グリッド、 スマート・エネルギー
スマート・シティ、 スマート・トラフィック
バッテリー・ トレーサビリティー
住宅、エネルギー 渋滞課金・ 交通インフラ
「つながる」クルマ
グリーン・カー
新たなビジネス・モデル/サービス(業界間)
リアルタイム解析
遠隔診断
交通渋滞監視
ネットワーク・カスタマー・サポート
11
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 Agenda
1. Introduction
2. Future of Motorized Society
3. Trends of Cybersecurity
4. DENSO’s Concept
5. DENSO’s Activities
6. Summary
12
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 <お伝えしたいこと>3. サイバーセキュリティの動向
日米欧の動向
クルマのIoT化が進むにつれ、サイバーセキュリティの重要性が高まっている。
現状、標準化は日米欧毎に活動しており、国際標準の動きは表面化していない。
車外接続のセキュリティについては、V2XやV2Gのシステムで検討されている。
一方、「走る・曲がる・止まる」に関わるin-vehicleについては、水面下で検討されて
いる状況である。特に北米で検討中のガイドラインは、人命に関わるISO 26262と
の一貫性も考慮しており注目である。
今後の動向
セキュリティ検討では、モビリティ社会視点で全ライフサイクルにおける検討が
必要となる。これまで品質の上に、車両盗難やマルチメディア(例:ナビゲーション
システム、ETC)は情報セキュリティを強化してきた。一方、in-vehicleでは同様に
機能安全を強化してきた。
今後は車外とも連携した高度運転支援が進展すると、これまでの品質・情報セキュ
リティ・機能安全をベースとした、クルマのサイバーセキュリティの強化が必要となる。
IoT: Internet of Things V2X: Vehicle-to-Vehicle and Infrastructure V2G: Vehicle-to-Grid ETC: Electronic Toll Collection System
13
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57
新たなサービスの進展
車外とツナガル製品(例:スマホ連携、
V2X, V2G)や自動運転に向けた
動きが非常に活発な状況
負の側面(車の脆弱性の暴露)
3.1 背景 V2X: Vehicle-to-Vehicle and Infrastructure V2G: Vehicle-to-Grid
サイバーセキュリティの重要性が高まっている
14
source: ITS World Congress @Oct. 2013
source: DEF CON 21 @Aug. 2013
米ハッキング学会:車両制御の乗っ取りデモ
対象箇所 デモ内容
メータ 走行中にスピードメータが100mphなどを示す
ブレーキ 走行中に勝手に急制動
ステアリング 走行中に勝手に蛇行
エンジン 走行中に急加速。エンジンも切ることができない
ホーン 走行中に勝手にホーンが鳴る
シートベルト 走行中に運転席のシートベルトが巻き上がる
ガスゲージ いきなりフルゲージに変更
歩行者衝突回避支援型PCS(トヨタ) 踏み間違い衝突防止アシスト(日産)
シティブレーキアクティブシステム(本田)
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 3.2 標準化動向
地域毎に標準化活動が徐々に進んでいる
2011 2012 2013 2014
TEVEES18 (Motor Vehicle Council, Electrical Systems Group)
(on-board secure comm. Security WP)
ISO 15118 PT5 (V2G)
Study group of embedded security in car
for Automotive
Process Product
HSM
Guide
expected by DENSO
2015
(700MHz band)
ISO 13185(VSG)
Europe
JAPAN
USA
Standard
Information security subcommittee
Guideline (RC-009)
J3061
Thin Spec
2000 2005 2010
ISO/IEC 15408
ISO 27002
FIPS 140-2
TSL
AES、SHA-2
TCG
IT industry
Auto industry
SAE: Society of Automotive Engineers TCG: Trusted Computing Group ACES: Automotive Consortium for Embedded Security
SHE
TSL: Transport Layer Security AES: Advanced Encryption Standard SHA: Secure Hash Algorithm TCG: Trusted Computing Group
V2G: Vehicle-to-Grid VSG: Vehicle Station Gateway SHE: Secure Hardware Extension HSM: Hardware Security Module
IPA: Information-technology Promotion Agency JSAE: Society of Automotive Engineers in Japan JAMA: Japan Automotive Manufactures Association JASPAR: Japan Automotive Software Platform and Architecture
15
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 欧州動向
主な目的:高いセキュリティレベルを長期間維持する
ISO/IEC 15408* is difficult and not enough to assure C2C in auto industry
source: C2C-CC@Nov. 2013
事例
車外と車載通信器間限定であるものの、CCに代わる新たな標準(TAL)を検討中
* TAL: Trust Assurance Level
* Common Criteria (CC) 16
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 北米動向 TEVEES18
source: escar USA@ Jun. 2014
Automotive Security Guidelineが投票される予定
• グローバル唯一のガイドラインとなる
• ISO 26262との一貫性も注目である
事例
17
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 国内動向
source: Automotive World 2015 @Jan. 2014
自動車業界として、3団体で役割分担をして活動中
事例
18
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57
対象システム
ライフサイクル
3.3 対象定義
2020年以降で全体最適なAutomotive Security Controlを検討する
V2V: Vehicle-to-Vehicle V2I: Vehicle-to-Infrastructure EVSE: Electric Vehicle Service Equipment DCM: Data Communication Module
LTE: Long Term Evolution BT: Bluetooth ITS: Intelligent Transport Systems PLC: Power Line Communication GW: Gateway 19
モビリティ社会@2020年
Smart phone
車々・路車間通信 V2V
専用線 diagnosis
専用線 EVSE
車
・・・
・・・
・・・
パワトレ
シャシ
ボデー
ECU02
ECU21 ECU22
ECU11 ECU12
ITS
ECU01
車載GW
BT Wi-Fi
車内GW
車外GW
DCM
PLC
Cloud
Bluetooth Wi-Fi
制御系
情報系
不正機器
取付け
人命
プライバシ
財産※
不正機器
取付け・改造
保護対象資産 脅威
V2I ※ 課金、知的財産、車両盗難
専用無線
(LTE)
盗聴・改ざん
なりすまし等
Data Center
・・・
評価技術
セキュリティポリシ
セキュリティ分析
要件・仕様
設計・評価
セキュリティ機能活用
保守(リプロ含む)
サービス・運用
脅威/リスク
鍵廃棄
機能停止
・・・ セキュリティコスト
・・・
インシデント管理
対策技術
企画 開発 廃棄 運用
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57
ADAS Powertrain
Chassis
Body
Multimedia
モビリティ社会@2020年
専用無線(LTE)
Smart phone
車々・路車間通信V2V
専用線diagnosis
専用線EVSE
車
・・・
・・・
・・・
パワトレシャシ
ボデー
ECU02
ECU21 ECU22
ECU11 ECU12
ITS
ECU01
車載GW
BTWi-Fi
車内GW
車外GW
DCM
PLC
Data Center
Cloud
BluetoothWi-Fi
制御系
情報系
人命
プライバシ
財産※V2I
ドメインマッピング
本講演では、クルマの中を4つのドメインとする
20
車内(in-vehicle)
対象システム
車外~通信モジュール
人命
プライバシ
財産
被害分類
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57
Quality
既存の対応
これまでのSecurity Controlは財産とプライバシを中心に対応してきた
Powertrain
Chassis
Body
ADAS
Multimedia Reprograming Security
Functional Safety
Car Security Information Security
21
車内(in-vehicle)
対象システム
車外~通信モジュール
人命
プライバシ
財産
被害分類
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 3.4 将来予想
ADASでは品質・セーフティに加えてサイバーセキュリティにも対応する必要がある
Powertrain
Chassis
Body
beyond ADAS (Automated or
Autonomous Driving) ADAS
Focus: Cybersecurity FBI warns driverless cars could be used as 'lethal weapons‘ @Jul. 2014
Reprograming Security
Information Security Car Security
Functional Safety
Quality
22
Multimedia
車内(in-vehicle)
対象システム
車外~通信モジュール
人命
プライバシ
財産
被害分類
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 Agenda
1. Introduction
2. Future of Motorized Society
3. Trends of Cybersecurity
4. DENSO’s Concept
5. DENSO’s Activities
6. Summary
23
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57
<お伝えしたいこと>4. デンソーのセキュリティコンセプト
課題と考え方
課題
クルマの資産は、IT業界と共通する「プライバシ、財産」に加えて、①「人命」も守る必要
がある。またお客様がクルマを利用される ②長期間(例:15年以上)のセキュリティ対応
が必要となる。
考え方
①は品質・機能安全の強みを活かした新たなコンセプトを考案する。
一方、②は車業界として考え方をつくる必要がある。
弊社のセキュリティコンセプト
IT業界の一般的なセキュリティコンセプト「多層防御(DEFENSE in DEPTH)」を
クルマに適用した。IT業界との主な相違点は、多様な資産に合わせて、これまでの
クルマでの対応も加えて、多層防御を強化した点である。
<ご参考>
攻撃起点を(a)リモート、(b)車内接続コネクタ(DLC*)、(c)ECU直接における
多層防御の事例を紹介しています。 * DLC: Data Link Connector
24
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 4.1 セキュリティの課題
業界レベルでの相場作りが必要である
V2V: Vehicle-to-Vehicle V2I: Vehicle-to-Infrastructure EVSE: Electric Vehicle Service Equipment DCM: Data Communication Module
LTE: Long Term Evolution BT: Bluetooth ITS: Intelligent Transport Systems PLC: Power Line Communication GW: Gateway 25
攻撃の進化 攻撃者の動機の多様化 セーフティへの影響
セキュリティ技術の進化 脆弱性対策
① 保護対象資産が多岐に渡る(人命、プライバシ、財産)
② 脅威とSecurity Controlとの適正なバランス ※長期間(例:15年以上)
課題 赤字:IT業界との違い
モビリティ社会@2020年
Smart phone
車々・路車間通信 V2V
専用線 diagnosis
専用線 EVSE
車
・・・
・・・
・・・
パワトレ
シャシ
ボデー
ECU02
ECU21 ECU22
ECU11 ECU12
ITS
ECU01
車載GW
BT Wi-Fi
車内GW
車外GW
DCM
PLC
Data Center
Cloud
Bluetooth Wi-Fi
制御系
情報系
不正機器
取付け
人命
プライバシ
財産※
不正機器
取付け・改造
※ 課金、知的財産、
車両盗難
保護対象資産 脅威
V2I
専用無線
(LTE)
盗聴・改ざん
なりすまし等
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 4.2 考え方(Automotive Security Control)
クルマの特徴
Multimedia Domain
変化の早い車の外との接続が必要
お客様のニーズから製品周期も短い
Control Domain
人命に関わる事故に至る可能性あり
既存対策(品質・安全)もある
考え方
Multimedia Domain
IT標準技術を流用する
Control Domain
既存の車業界の考え方をベースに
不足分はIT標準技術を流用する
Security
既存資産
IT技術ベース
Quality
Safety
MM
Domain
Control
Domain
• MMと制御のアーキテクチャレベルの分離
• 品質・セーフティ機能の脆弱性の低減
26
Smart phone
車々・路車間通信 V2V
専用線 diagnosis
専用線 EVSE
車
・・・
・・・
・・・
パワトレ
シャシ
ボデー
ECU02
ECU21 ECU22
ECU11 ECU12
ITS
ECU01
車載GW
BT Wi-Fi
車内GW
車外GW
DCM
PLC
Data Center
Cloud
Bluetooth Wi-Fi
制御系
情報系
V2I
専用無線
(LTE)
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57
Vechicle
Secure Logging
Anomaly Detection
4.3 セキュリティコンセプト
• Privacy and Property : ICT*をベースに防御する
• Safety : さらなるセーフティ強化とICTの融合で防御する
* Information and Communication Technology
Safety
Attacker
Exte
rnal F
irew
all
Exte
rna
l Tra
nsa
ctio
n D
efe
nse
Exte
rnal E
CU
Defe
nse
Basic ICT In
tern
al G
W D
efe
nse
Inte
rnal T
ransactio
n D
efe
nse
Inte
rna
l Fire
wa
ll
Inte
rnal E
CU
Defe
nse
Extended ICT
Property
Privacy
Property (Car Theft)
Syste
m S
afe
ty
Safety & Security
Safe
ty M
echanis
m D
efe
nse
Outside
保護資産※毎に既存資産も活用して多層防御する ※情報以外も含む
27
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 セキュリティコンセプト(セーフティ関連)
クルマの安全を既存セーフティと多層のSecurity Controlで防御する
Protect the entry point Prevent unauthorized access
Protect the end point Detect hacking, Transit to safe state after detecting hacking
Vehicle
ECU
ECU ECU ECU ・・・
MCU
Remote
Agent 2.internal
GW
1.external
GW
3.MCU
firewall
check
1. Remote
2. In-vehicle network
3. ECU Direct
secure
code
secure code
3つのAttack Surfaceに対して、entryとend pointの多層防御コンセプトで防御する
事例
28
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 多層防御 from Remote Hacking 1/2
Protect the entry point
e.g. V2X
Vehicle
ECU
ECU ECU ECU ・・・
MCU
Remote
Agent
external
GW
Message
Tampering
Device
Spoofing
• Filtering: pass only permitted message (white list)
• Authentication: confirm validness of sender and message
事例
29
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 多層防御 from Remote Hacking 2/2
Protect the end point
e.g. V2X
Vehicle
ECU
ECU ECU ECU ・・・
MCU
Remote
Agent
external
GW
Data source
Tampering
check
• NEVER control vehicle only by remote message
• Compare with own trustworthy sensor
事例
30
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 多層防御 from In-vehicle Network Hacking 1/3
Protect the entry point
OBD II port: using for the on-board diagnostic and ECU software update port
Vehicle
ECU
ECU ECU ECU ・・・
MCU
Remote
Agent
source: minkara.carview.co.jp
事例
31
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 多層防御 from In-vehicle Network Hacking 2/3
Protect the entry point
OBD II port: using for the on-board diagnostic and ECU software update port
Vehicle
ECU
ECU ECU ECU ・・・
MCU
Remote
Agent
Invalid Message
Injection
source: minkara.carview.co.jp
• Block the OBD II port by firewall ( filtering and authentication )
事例
32
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57
Protect the end point
OBD II port: using for the on-board diagnostic and ECU software update port
Vehicle
ECU
ECU ECU ECU ・・・
MCU
Remote
Agent internal
GW
source: minkara.carview.co.jp check
Invalid Message
Injection
• Detect anomaly messages. e.g. message authentication Code
• Limit or stop function by existing safety mechanisms
多層防御 from In-vehicle Network Hacking 3/3 事例
33
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 多層防御 from ECU Direct Hacking 1/3
Protect the entry point
MCU debug/flash port: JTAG, NBD, ICE, Serial, …
Vehicle
ECU
ECU ECU ECU ・・・
MCU
Remote
Agent
source: www.lartmaker.nl
void main() {
int number1;
int number2;
if ( ….
}
void main() {
int number1;
int number2;
if ( ….
}
事例
34
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 多層防御 from ECU Direct Hacking 2/3
Protect the entry point
MCU debug/flash port: JTAG, NBD, ICE, Serial, …
Vehicle
ECU
ECU ECU ECU ・・・
MCU
Remote
Agent
source: charliex2.wordpress.com
Reverse
Tampering
MCU
firewall void main() {
int number1;
int number2;
if ( ….
}
void main() {
int number1;
int number2;
if ( ….
}
void main() {
int number1;
int number2;
if ( ….
}
• Control debug/flash port by authentication
• Authenticate with HW support e.g. MCU access control
事例
35
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57
Protect the end point
MCU = superfine CIRCUIT
Vehicle
ECU
ECU ECU ECU ・・・
MCU
Remote
Agent
MCU
firewall source: www.freeimages.com
non-contact: Fault Injection,
Side channel
Contact: Open the package,
Analysis circuit pattern,
Probe wiring source: www.altech.co.jp
Direct Reverse, Tampering
void main() {
int number1;
int number2;
if ( ….
}
void main() {
int number1;
int number2;
if ( ….
}
void main() {
int number1;
int number2;
if ( ….
}
check void main() {
int number1;
int number2;
if ( ….
}
• Pre-attach the security code to program
• Check whether tampered or NOT e.g. Secure Boot
with tamper resistance
多層防御 from ECU Direct Hacking 3/3 事例
36
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 Short Break
安全設計の概要説明
37
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 <お伝えしたいこと>ショートブレイク
はじめに
これまでの車業界での品質・安全をご理解いただくことで、
多くの方々にクルマのサイバーセキュリティをご検討いただけれると幸いです。
事例:モータ制御システム
狙い:意図せぬ誤作動・不作動による事故の低減
機能安全ISO 26262における検討の流れ(開発フェーズのみ) ハザード分析・リスク評価:対応すべきトップ事象と安全目標を定める
安全分析:故障原因を特定する(例:FTA, FMEA)
安全要件定義:適切な安全機能を定義する
安全設計:安全要件に基づき、設計する
安全検証:安全設計のISO 26262要件適合を検証する
安全テスト:対象システム・コンポーネントをISO 26262要件を踏まえてテストする
安全の考え方
クルマ全体はシステムセーフティ(機能安全含む)で守る。
セキュリティ要因はリスクを踏まえてセーフティまたセキュリティで対応する。
OEM・サプライヤで 連携した活動 (階層毎に役割分担)
FTA: Fault Tree Analysis FMEA: failure mode effect analysis 38
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57
ハザード(例):意図せぬ急激な誤作動
セーフティゴール(例): 異常時は
指定の安全状態に移行する
セーフティコンセプト(例)
故障検出
センサ:冗長、・・・
ECU: 指令値演算チェック、
センサ値の常時比較、・・・
処置:モータ回転を停止
モータ制御システム
セーフティメカニズム
事例
39
概要
ドライバの指示により、
走・曲・止に関わるアクチュエータを制御する
定義
ドライバ指示の把握:センサA(SA)
アクチュエータの状態把握:
モータポジションセンサ(SB)
ドライバの指示とモータ状態より、
コンピュータ(ECU)がアクチュエータ(モータ)
への指令値を演算、送信する
基本機能
SA M ECU
SB
センサA
モータポジションセンサ
ECU : Electronic Control Unit
モータ
M
SB1
SA2
SA1
SB2
ECU
センサ冗長 センサ冗長
自己診断
指令値演算チェック
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 故障要因と対策イメージ(現状の一例)
Fault Tree Analysis Unintended severe failure operation
COMMAND Failure INPUT Failure OUTPUT Failure
SA1 error Comparison with SA2
open
Command value
error SB1 error
Motor
error
Output F/B
detection
overcurrent … … short … RAM change … spoofing tamper
セキュリティはviolation of safety goalの一要因である
Comparison with SB2 Self test
for MCU
spoofing tamper spoofing tamper spoofing
for MCU tamper
ECU Auth.
ECU
error
spoofing
for ECU
ECU
error detection
…
… …
… …
Security Control
Safety Mechanism
Safety cause
Security cause
Safety Mechanisms protect
most of security issues
事例
40
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57
Fault Tree Analysis
Sensor Auth.
Tamper Proof
Sensor Auth.
Tamper Proof Secure Boot
Actuator Auth.
Tamper Proof ECU Auth.
故障要因と対策イメージ(将来の一例) Unintended severe failure operation
COMMAND Failure INPUT Failure OUTPUT Failure
SA1 error Comparison with SA2
open
Command value
error SB1 error
Motor
error
Output F/B
detection
overcurrent … … short … RAM change …
Comparison with SB2 Self test
for MCU
ECU
error
spoofing
for ECU
ECU
error detection
…
… …
… …
Security Control
Safety Mechanism
Safety cause
Security cause
spoofing tamper spoofing tamper spoofing tamper
Safety Mechanisms protect
certain level of security issues
Security Controls add on some modules
spoofing
for MCU tamper
セーフティメカニズムの脆弱性を低減することでクルマ安全を確保する
事例
41
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 Agenda
1. Introduction
2. Future of Motorized Society
3. Trends of Cybersecurity
4. DENSO’s Concept
5. DENSO’s Activities
6. Summary
42
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 <お伝えしたいこと>5. デンソーの活動
活動概要
適正なセキュリティレベルの製品の継続的な提供を目指して、会社レベルの仕組みを構築
中。最終的には会社の継続的な管理下の元、①セキュリティ製品開発、②出荷後の脆弱性
対応、③インシデント発生時の緊急対応を目指す。
セキュリティ開発プロセス
ISO/IEC 15408※には、(a)分散開発での役割分担と(b)セーフティ&セキュリティの規定が
不足している。(a)ISO 26262の役割分担を拡張し、(b)クルマ全体はシステムセーフティで
守る基本的な考え方に基づき、セーフティと疎な関係のセキュリティプロセスを開発中。
セキュリティ設計基盤
適正なセキュリティレベルを目指して、IT標準を踏まえた社内標準セキュリティコントロールを
開発中。また加えて効率化のためにセキュリティプラットフォームを構築中。
セキュリティ評価基盤
品質・機能安全などの評価基盤を活かした、脆弱性に特化した評価基盤を構築中。
要件定義・仕様開発・設計・テストの工程における評価項目・基準・手順を開発中。
※ICカードや複合プリンタなどで多数実績のあり
43
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 5.1 活動概要
目的: 適正なセキュリティ製品をお客様にご提供し続ける
活動: モビリティ社会2020年を目指してセキュリティ共通基盤を開発し
製品試行により現場で使えるレベルにする
課題:
V2V: Vehicle-to-Vehicle V2I: Vehicle-to-Infrastructure EVSE: Electric Vehicle Service Equipment DCM: Data Communication Module LTE: Long Term Evolution BT: Bluetooth ITS: Intelligent Transport Systems PLC: Power Line Communication GW: Gateway MM: Multimedia
44
専用無線
(LTE)
smart phone
V2I
車々・路車間通信 V2V
専用線 diagnosis
専用線 EVSE
クルマ
・・・
・・・
・・・
情報系
パワトレ
シャシ
ボデー系
ECU02
ECU21 ECU22
ECU11 ECU12
モビリティ社会@2020年
ITS
ECU01
車載GW
BT Wi-Fi
車内GW
車外GW
DCM
PLC
Data Center
Cloud
Bluetooth Wi-Fi
全体最適な全社標準
セキュリティ要件定義
①対策方針 非競争/競争技術の開発
とIT技術の車載適用
②技術開発
既存のセキュリティポリシとの
整合と全社活動の規定化
⑤運用管理 コンセプト提案と
最新技術の目利き
④人材育成 標準化戦略と
市場・業界動向の把握
③標準化
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 進め方
要件:会社の仕組みとして①~③を管理していること
①Development: SOP前に相場に合った製品企画・
開発・製造をしていること
②Maintenance: SOP後に発覚する脆弱性を常に
①把握・②製品インパクト判断・
③アップデートにより、
適正なセキュリティレベルを
維持していること
③Incident Response: インシデント発生時は速やかに対応すること
First Step:
Automotive Security Process
Automotive Security Design Security Platform
Automotive Security Evaluation Vulnerability Review and Test
Development
45
Security Management
Development
Incident
Response
Maintenance
SOP: Start Of Production
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57
製品とセキュリティ開発との関係を定義する
セキュリティ開発プロセスを現場で使えるレベルにするために、
設計基盤と評価基盤を構築する
セキュリティ共通基盤(開発フェーズ)
セキュリティ共通基盤を構築中
46
共通基盤 セキュリティ 機能開発
製品開発
⑦脆弱性 テスト基準
⑥脆弱性
検証基準
評価基盤 設計基盤
基本方針
要件定義
E/Eシステム開発
E/Eコンポーネント開発
HW/SW設計
テスト
セキュリティ要件定義
システム
セキュリティ仕様開発
コンポーネント(HW/SW)
セキュリティ仕様開発
セキュリティテスト
③相場観
プロセス ②セキュリティ 開発プロセス
④セキュリティ
コントロール
(対策技術)
⑤実装技術
①セキュリティポリシ
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 共通基盤のポイント 47
品質
共通基盤
IEC 62443 ISO 15118 ISO 13185
e.g. EC(FP7) C2C-CC
SAE
セキュリティ
共通基盤
運用管理基盤 • セキュリティポリシ
• 規程類
• 組織体制
• プロセス
・・・
機能安全
共通基盤 評価基盤 •評価手法
•評価基準
•評価環境
・・・
基盤技術
支援文書
組織体制
教育体系
設計基盤 •アーキテクチャ
•対策要件
•対策技術
・・・ 協調
ISO/IEC 27000s ISO/IEC 15408 ISO/IEC 19790
融合
General standards
Other standards
EU/US activities
グローバル標準と協調し、弊社内の既存基盤とセキュリティとを融合する
弊社内
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57
現状の国際規格
デンソーの懸念点
セキュリティ セーフティ
全産業向け ISO/IEC 15408 (2001年制定
ed.2 2009改訂)
IEC 61508 (2000年制定)
車業界 未制定 ISO 26262 (2011年制定)
被害分類 ISO 15408スコープ
財産 対象
プライバシ
セーフティ 対象外
被害分類
設計階層 ISO 15408スコープ
車両 対象外
システム
明確な定義なし ハードウェア
ソフトウェア
開発フェーズ
5.2 自動車向けセキュリティ開発プロセス
ISO/IEC 15408にはクルマとしては不足するところが存在する
48
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57
セーフティ&セキュリティ(S&S)
セーフティとの関連付けが必要である
既存資産の脆弱性を考慮しつつ、
有効活用する手法が必要である Unintended severe failure operation
COMMAND FailureINPUT Failure OUTPUT Failure
SA1 error Comparison with SA2
open
Command valueerror
SB1 errorMotorerror
Output F/Bdetection
overcurrent… …short …RAM change … spoof ing tamper
Comparison with SB2Self testfor MCU
spoof ing tamper spoof ing tamper spoof ing
f or MCUtamper
ECU Auth.
ECUerror
spoof ing
f or ECU
ECUerror detection
…
… …
… …
Safety mechanisms protect
most of security issues
役割分担
OEM・サプライヤ(Tier1…n)の
役割の分担の定義が必要である
ISO 15408では分散開発の規定なし
プロセスの課題
車業界の課題を共有し、標準化を目指したい
In-vehicle Device
Target System
Powertrain
Chassis
Body
Multimedia
Functional Safety
Car Security
QualityInformation Security
beyond ADAS(Automated Driving?)
Sa
fety
Asset Pro
pe
rty/ P
riva
cy
ADAS
Cloud to Connected Device
Reprograming Security
既存資産(車業界の強み)を可能な限り流用する (例)品質とセーフティ
Threat analysis and riskassessment
Threat analysis and
risk assessment
Specification of security goals
Threat analysis and
risk assessment
Specification of functional security requirements
Functional security
concept
Specification of technical security requirements
Specification of the technical
security requirements
Hardware securityrequirements
Specification of hardware
security requirements
Software securityrequirements
Specification of software
security requirements
Tie
r1
Tie
r2
OE
M
Sp
ecif
icati
on
an
d m
an
ag
em
en
t o
f se
cu
rity
req
uir
em
en
ts
Pro
du
ct d
ev
elo
pm
en
tC
on
ce
pt p
hase
49
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57
着眼点
1. 役割分担はISO 26262のDIA*をベースに検討する
2. セキュリティはFTAのトップ事象(クルマが危険な状態)に至る一要因である
セーフティメカニズムの脆弱性をSecurity Controlで守る
プロセスの考え方 (セーフティ関連のみ)
* Development Interface Agreement
Main Function e.g. ACC, LKA
Safety Mechanism e.g. Driver Override
Security Control
• Access Control to DLC
• Domain Isolation of networks
• Authentication between ECUs or ECU-sensor
• Message Authentication of critical data
• Secure boot
e.g.
Existing
Sensor Auth.
Tamper Proof
Sensor Auth.
Tamper Proof Secure Boot
Actuator Auth.
Tamper ProofECU Auth.
Unintended severe failure operation
COMMAND FailureINPUT Failure OUTPUT Failure
SA1 error Comparison with SA2
open
Command valueerror
SB1 errorMotorerror
Output F/Bdetection
overcurrent… …short …RAM change …
Comparison with SB2Self testfor MCU
ECUerror
spoof ing
f or ECU
ECUerror detection
…
… …
… …
spoof ing tamper spoof ing tamper spoof ing tamper
Security Controls add on some modules
spoof ing
f or MCUtamper
Existing
New
50
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 51 S&Sの考え方
参考
アプリケーション依存と非依存とに分けて検討する
アプリ依存: 安全機能の脆弱性を守る
アプリ非依存: 特権機能の脆弱性を守る 車業界の最低レベルを定義する
以降は、アプリケーション依存のワークフローについて解説する
MAIN FUNCTION e.g. Powertrain, Chassis, ADAS
SAFTY MECHANISM e.g. Driver Override
SECURITY CONTROL
Existing
Existing
New
SUPERVISORY
FUNCTION
Security Control Vehicle
System
Hardware
Software
Vehicle
System
Hardware
Software
Security Control
Security Control
Security Control
Dependence on Application Independence on Application
Existing
New
Product
e.g. 適合, 故障診断, ソフト更新,
デバッグ, 製造テスト, 不良解析
min. Attack DB
懸念: 攻撃のターゲットになりつつある
課題: 各社の競争領域かつ仕様公開難
提案: 業界の底上げの目的で、
各社で連携してmin.攻撃DBを構築する
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 S&Sワークフロー概要
考え方
セキュリティ検討の入力は、 セーフティ要件である
Safety Analysis
Safety Requirement
Safety Verification
Safety Test
Vehicle
System
HW
SW
System Basic Design
Functional Basic Design
VA, FCR
H&R, Safety Goal
System Design Vul. Veri.
T&R, Security Goal
Safety Veri.
Function Design
SA, FSR
VA, TCR
SA, TSR
Vul. Veri. Safety Veri.
Hardware Design Vul. Veri. Safety Veri.
VA, HCR
SA, HSR HW Basic Design
Software Design
Vul. Veri. Safety Veri.
VA, SCR
SA, SSR SW Basic Design
Vul.
Test
Security (new) Safety (existing)
H&R: Hazard and Risk assessment T&R: Threat and Risk analysis SA: Security Analysis Safety Veri.: Safety Verification VA: Vulnerability Analysis Vul. *: Vulnerability * V&V: Verification and Validation
*SR: * Safety Requirement *CR: * Cybersecurity Requirement F*R: Functional * Requirement T*R: Technical * Requirement H*R: Hardware * Requirement S*R: Software * Requirement
Vulnerability Analysis
Security Requirement
Design
Test
Vulnerability Verification
Vulnerability Test
Safety
Test
Software V&V
Vul.
Test Safety
Test
Hardware V&V
Vul.
Test Safety
Test
System V&V
Vul.
Test Safety
Test
Vehicle V&V
52
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 S&Sワークフロー概要
考え方
セキュリティ検討の入力は、 セーフティ要件である
Safety Analysis
Safety Requirement
Safety Verification
Safety Test
Vehicle
System
HW
SW
System Basic Design
Functional Basic Design
VA, FCR
H&R, Safety Goal
System Design Vul. Veri.
T&R, Security Goal
Safety Veri.
Function Design
SA, FSR
VA, TCR
SA, TSR
Vul. Veri. Safety Veri.
Hardware Design Vul. Veri. Safety Veri.
VA, HCR
SA, HSR HW Basic Design
Software Design
Vul. Veri. Safety Veri.
VA, SCR
SA, SSR SW Basic Design
Vul.
Test
本ワークフローのたたき台を完成し、製品検証中
Security (new) Safety (existing)
H&R: Hazard and Risk assessment T&R: Threat and Risk analysis SA: Security Analysis Safety Veri.: Safety Verification VA: Vulnerability Analysis Vul. *: Vulnerability * V&V: Verification and Validation
*SR: * Safety Requirement *CR: * Cybersecurity Requirement F*R: Functional * Requirement T*R: Technical * Requirement H*R: Hardware * Requirement S*R: Software * Requirement
Vulnerability Analysis
Security Requirement
Design
Test
Vulnerability Verification
Vulnerability Test
Safety
Test
Software V&V
Vul.
Test Safety
Test
Hardware V&V
Vul.
Test Safety
Test
System V&V
Vul.
Test Safety
Test
Vehicle V&V
53
車両レベルの脅威・リスク 分析により、 クルマとしてのセキュリティ ゴール(SG)を定義する
システムレベル以降は、SGとセーフティ要件を 踏まえて詳細設計・テスト(脆弱性観点含む)する ※トレーサビリティ
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57
コンセプト:セキュリティプラットフォーム*で製品を保証する
セキュリティプラットフォームの開発・保守はセキュリティ専門チームが実施する
セキュリティワークフロー
Vulnerability Analysis
Security Requirement
Security Specification
Security Implementation
Target Definition
Threat Analysis
Risk Analysis
Security Goal
Vulnerability
Verification
Vulnerability
Test
Vehicle, System, HW, SW
Security Product Development
Functional Safety Requirement
Vul. Veri. Method
Vul. Test Method
Std. Vul. Test DB
Attack DB
Security Platform
Maintenance Development
Vulnerability DB
Attack DB
Vulnerability DB
* 十分に脆弱性を低減済み
(例:第3者評価)
Requirement Method
Threat &Risk Analysis
Security Manual
Security Design Rule Std. Design
DB
Attack DB
Security Platform
Development Maintenance
Vulnerability DB
Std. Spec. DB
Attack DB
Vulnerability DB
54
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57
Vulnerability Analysis
Security Requirement
Security Specification
Security Implementation
Target Definition
Threat Analysis
Risk Analysis
Security Goal
Vulnerability
Verification
Vulnerability
Test
Vehicle, System, HW, SW
Security ProductDevelopment
RequirementMethod
Threat &RiskAnalysis
SecurityManual
SecurityDesign RuleStd. Design
DB
AttackDB
Security Platform
DevelopmentMaintenance
VulnerabilityDB
Std. Spec.DB
AttackDB
VulnerabilityDB
5.3 セキュリティ設計基盤
前提条件
ITとクルマのセキュリティ要件は類似
主な違いはドメイン毎のパフォーマンス
標準セキュリティ設計仕様
基本方針
IT標準仕様を流用する
セキュリティ仕様
Authentication: PKI, CHAP
Encryption, Hash, PRNG: RSA, ECC, AES, …
Tamper Detection: MAC, Digital Signature
Key Management: DH, Symmetric Key
Logging
Anomaly Detection
本セキュリティ仕様で製品適用中
MAC: Message Authentication Code DH: Diffie-Hellman
LTE
Smart phone
V2I w ireless comm.V2V
diagnosis
dedicated lineEVSE
vehicle
…
…
…
power train
chassis
body
ECU02
ECU21 ECU22
ECU11 ECU12
ITS
ECU01
VGW
BTWi-Fi
inte
rnal G
W
exte
rnal G
W
DCM
PLC
Data Center
Cloud
BluetoothWi-Fi
Control domain
MM domain
dedicated line
PKI: Public Key Infrastructure CHAP: Challenge-Handshake Authentication Protocol PRNG: Pseudo Random Number Generator ECC: Elliptic Curve Cryptography 55
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57
前提条件:既存のV&Vで品質・セーフティは確認済み
標準セキュリティ評価仕様
基本方針:IT標準評価の考え方を流用する
Vulnerability Analysis
Security Requirement
Security Specification
Security Implementation
Target Definition
Threat Analysis
Risk Analysis
Security Goal
Vulnerability
Verification
Vulnerability
Test
Vehicle, System, HW, SW
Security ProductDevelopment
Vul. Veri.Method
Vul. TestMethod
Std. Vul. TestDB
AttackDB
Security Platform
MaintenanceDevelopment
VulnerabilityDB
AttackDB
VulnerabilityDB
Common
Vulnerability DB: T.B.D.
Attack DB: Well-known attack surface,
the ports used at limited development and
production
Vulnerability Verification
based on ISO/IEC 15408-3, ISO/IEC 18045
and ISO/IEC 19790
Vulnerability Test
Fuzzing and Penetration Test
based on IEC 62443-4 and ISO/IEC 18045
5.4 セキュリティ評価基盤
評価基盤には多々課題あり (例)評価要件、評価コスト大、DBの最低ラインの共有
V&V: Verification & Validation ISO/IEC 15408 ≒ CC (Common Criteria) ISO/IEC 18045 ≒ CEM (Common Evaluation Method) ISO/IEC 19790 ≒ FIPS 140-2 IEC 62443-4 ≒ EDSA (Embedded Device Security Assurance) 56
This information is the exclusive property of DENSO CORPORATION. Without their consent, it may not be reproduced or given to third parties.
Jan. 22, 2015 DP-Cyber Security R&D Dept.
/ 57 6. Summary
背景・動向
クルマがIoTの一部となりつつあり、サイバーセキュリティの重要性は高まっている
車業界でセキュリティの標準化(≒ISO 26262)の進捗は思わしくなく、グローバルな相場の
議論が難しい状況にある
弊社の活動
クルマのセキュリティを確立には、ライフサイクルとサプライチェーンを踏まえた新たなセキュリ
ティの枠組みが必要である。このため標準化活動と個社も仕組みの構築が必須である。
本講演ではセキュリティ開発の中でベースとなる開発プロセスにフォーカスして、懸案の
「セーフティ&セキュリティ(S&S)」を中心に説明した。
セキュリティの目的を「セーフティメカニズムの脆弱性を守るため」と定義し、ISO 26262における各階
層からの安全要件を入力に、脆弱性分析しセキュリティ要件を定義するワークフローを提案した。
なお、S&Sにおける脅威分析・リスク分析の結果はISO 26262と同様となるが、セキュリティゴールは
車両メーカからのセキュリティ対応レベルの要求となるため非常に重要である。
今後の課題
欧米は自動運転に向けて活動を加速している。日本も欧米同様の活動の加速に加え、
IoTの観点より、他業界とも連携したグローバルな活動が必要である。
57