自動車の守り方を考える「escar Asia 2014」レポート：セキュリティ業界、1440度（7）（2/2 ページ）

未知の脆弱性を発見する「ファジング」のノウハウを語る

FFRI取締役・最高技術責任者 金居良治（写真提供：日経Automotive Technology）

　2日目には、弊社の金居が、組み込み機器のセキュリティとファジングによる対策について講演しました。組み込みシステムは急速にネット化が進んでおり、PC環境で形成されてきたセキュリティに関するノウハウが生かされていないケースがあるという背景を説明しました。また、組み込みシステムへの攻撃例を紹介しました。

　脆弱性を発見する検査手法の1つであるファジングについても解説。ファジングの種類とそれによって発見できる脆弱性の種類、ファジング実施の流れと要点を、ファジングツールの開発と機器検査で得られたノウハウを交えて紹介しました。

　未知の脆弱性を発見する有効な手法であるファジングについて、より多くの人々に知っていただけたのではないかと思います。

セキュリティのために自動車システムを“オープン”にすべきか？

　最後のセッションは、「セキュリティチップはどこまで必要なのか」というテーマでのパネルディスカッションでした。セキュリティチップの必要性や要点について、関係する発表を行った講演者の方々が議論しました。セキュリティチップは脅威分析を行った上で、既存のシステムへの統合のしやすさ、耐タンパー性やリアルタイム性、コストを含めた総合的な検討が必要という結論でした。

　幾つかの議論の中で特に印象深かったのは、現在の自動車のリコールの25％程度は「ソフトウェアに起因する」という話でした。将来的に自動車のICT活用が進んでいくと、この割合はさらに増加していくでしょう。そうすると、自動車のリコール対応方法も、インターネットを介したソフトウェアアップデートになるかもしれません。そのときに、セキュリティは非常に重要になります。

　自動車システムのオープン化に関する議論において、パネリストの方々は総じて、一部のコンポーネントを除いてオープン化する方がセキュリティは高くなるという考えでしたが、自動車メーカーの方から「オープン化のメリットはよく分からない、リスクが増加するのではないか」という意見もありました。この意見の違いも認識しておくべきポイントでしょう。

　自動車メーカーとセキュリティプロバイダーや研究者、それぞれの考え方があり、今後も継続した議論が必要であると感じました。