車をインターネットにつなぐと、それはもはやただの自動車ではない。タイヤの付いたコンピューターだ。
長年にわたり、セキュリティー業界は自問してきた、「サイバー攻撃はいつ物理的世界に影響を与えるのか」。つながっている車はその好例だ。研究者らは車の脆弱性について次々と新たな情報を公開している。例えば、パートナーのMarc Rogersと私によるTeslaシステムへの侵入、さらには最近Jeep Cherokeeを分析して、研究者らが車の運行システムにインターネットから入り込み、高速道路をノロノロ運転させたニュースだ。その結果Fiat Chryslerは100万台以上の車両をリコールすることになり、当局がふさわしくも「車の中のセキュリティーおよびプライバシー法と名付けた法案は現在議会で討議中だ。
車がGoogle検索をしたりツイートを送ったりスマートフォンアプリから遠隔操作できるようになると、T型フォードよりもノートPCとの共通点の方が多くなる。次世代のつながっている車を安全にすることは、車両の「準備完了」の意味を再定義するという意味だ。未来の車が発車準備を整えるためには、今日の伝統的物理的安全基準を越えるサイバーセキュリティー基準が必要になる。
自動車 ― および生活に欠かせない他のあらゆるテクノロジー ― がつながっていくことは不可避だ。乗用車やトラックが、個人や経済全体にとってどれほど重要かを考えれば、アタッカーらが車の(願わくば)よく設計されたシステムの破壊に全精力を集中することは容易に予想できる。
幸いにして破滅的な事件はまだ起きておらず、業界は先手を打ってこの問題に対処すべき立場にある。しかし、インターネット最前線にいるソフトウェア業界の経験から学ぶべきことを、自動車メーカーは殆どできていない。
サイバーセキュリティーには周到な投資を行うべきだ。
例えば、自動車を再発明するミッションの一環として、Teslaはソフトウェア第一のアプローチで自車を開発した。人々がこの車はインターネットにつながると期待していることを踏まえ、社内での会話は「いつこの車はインターネットにつながるのか?」ではなく、「どうすれば素晴らしいつながっている車を作れるか?」だった。
あらゆるソフトウェア主導の製品と同じく、サイバーセキュリティーは周到に考えられた投資であるべきだ。今自動車産業には、車のサイバーセキュリティーを劇的に改善するためにできる具体的方策が3つある。
第一に、セキュリティー脆弱性が見つかるたびに高価で時間のかかるリコールを行わずに済むために、無線アップデートシステムが必要だ。第二に、メーカーはインフォテイメントシステムと、重要な運転システムを分離し、両者間の通信を密に制御する必要がある。航空会社が機内Wi-Fiネットワークを重要な航空電子機器システムと分けるのと同じように。第三に、メーカーは何らかの攻撃が成功して個々のソフトウェア部品を占有することを想定し、仮に攻撃者が一つのシステムに侵入しても、自動的に車両全体へのアクセスが可能にならないようにすべきだ。
全メーカーがこのガイドライを実施すれは、自動車のサイバーセキュリティーは飛躍的に向上するだろうが、それはまだ始まりにすぎない。一企業が強力なサイバーセキュリティー文化を構築するためには何年もかかる。たとえ、強力な社内サイバーセキュリティーチームがいても、そのチームが組織全体の支援を受け組織に統合されている必要がある。
もし自動車業界がセキュリティーに正しく対応しないと何が起きるか考えてみてほしい。
さらに、経験豊富なセキュリティーチームを持つ会社は、社内にだけ支援を求めるのではなく、世界中のセキュリティー研究者コミュニティーに助けを求めて、犯人より先に問題を突き止め ― 願わくば解決する。例えば、Teslaは「バグ報奨金」プログラムを立ち上げることによって、外部のセキュリティー研究者らが責任をもってバグを検出、修正し、発見されたあらゆるセキュリティー問題の解決に協力している。私は全メーカーが同様の方法をとることを推奨する。
もし自動車業界がセキュリティーに正しく対応しないと何が起きるか考えてみてほしい。メーカーは、ソフトウェアに脆弱性が見つかるたびにリコールを発行しなければならない。リコールは時間を要するプロセスであり、ソフトウェア脆弱性は、直ちに修正しなければ、個人の深刻な安全問題になるだけでなく国家の安全をも脅かす。そしてもし車のソフトウェア脆弱性の頻度がPCのそれに匹適するようなら ― 毎月、時には毎週 ― リコールはたちまち現実的でなくなる。
私は、全自動車メーカーがサイバーセキュリティー対策に積極的に取り組み、上のガイドラインを足場に自動車をわれわれの生活で使われるテクノロジーの中で最も安全なものの一つにしてくれることを切に願っている。
[原文へ]
(翻訳:Nob Takahashi / facebook)