Amazon Web Services ブログ
コネクテッドモビリティソリューションにおける 10 のセキュリティゴールデンルール
はじめに
コネクテッドモビリティソリューションが自動車業界の変化を促進しています。遠隔コマンド、センサー、カメラ、人工知能、5G モバイルネットワークにより、自動車はますますスマート化し、そしてコネクテッド化しています。コネクテッドモビリティソリューションが大きな顧客価値をもたらす一方で、セキュリティ、安全性、プライバシーの面で、適切な管理を要する新たなリスクをもたらします。
自動車メーカーは、サイバーセキュリティをコアビジネスに不可欠な要素として考慮し、車両プラットフォームと関連するデジタルモビリティサービスを最初から安全に設計する必要があります。自動車の相手先ブランド製造 (OEM) 業者やサプライヤーが、コネクテッドビークルのイノベーションとリスクのバランスを取れるように、AWS は AWS IoT でコネクテッドビークルプラットフォームを構築するためのリファレンスアーキテクチャを発表しました。このガイダンスは、AWS 上のコネクテッドモビリティソリューションのための以下の 10 個のセキュリティゴールデンルールに基づいた、多層的なアプローチを推奨しています。
1. 規制および社内コンプライアンス要件に対応するための共通フレームワークによるセキュリティリスク評価を実施する。
- AWS は、コネクテッドカーの IT 技術を活用する前に、リスク、ギャップ、脆弱性を十分に理解し、主体的に管理できるように、サイバーセキュリティのリスク評価を実施することを推奨しています。自動車規制要件 ( UN-R155 および UN-R156 など) と社内要件を満たすために必要な管理策を決定します。クラウドリソースの最新の脅威モデルと、関連する車載コンポーネントの脅威分析とリスクアセスメント ( TARA ) を作成し、維持します。ISO 21434、NIST 800-53、ISO 27001 などの規格が有用なガイダンスを提供しています。
- 自動車 OEM は、消費者がアフターマーケット機器 (保険用ドングルなど) や個人用機器 (携帯電話など) を車内に持ち込み、メーカーが提供するインターフェースを介して車両システムに接続するリスクを考慮すべきです。
- 無線接続された ECU と低レベルの車両制御システム、特にブレーキ、ステアリング、推進力、パワーマネジメントなどの安全上重要な機能を制御するシステム間の接続を制限するためには、車載ネットワークのセグメンテーションと分離技術を使用する必要があります。
- データの送信とコマンドの受信は、常に信頼できるエンドポイント (MQTT over TLS など) への接続を車両に確立させ、着信接続の試みを許可しないようにします。
- リモートで車両のロックを解除するなど、クラウドから車両にコマンドが送信されるクローズドループオペレーションでは、セキュリティコントロールとテストをさらに厳密に行う必要があります。
参考リソース:
- AWS コンプライアンスプログラムとオファリング。
- Amazon Virtual Private Cloud (Amazon VPC) は、ユーザーが定義した論理的に分離された仮想ネットワーク内に AWS リソースを起動できるサービスです。
- AWS Network Firewall は、すべての Amazon VPC に必要不可欠なネットワーク保護を簡単に導入できるマネージドサービスです。
- AWS Control Tower は、アイデンティティ、連携アクセス、アカウント構造に関するベストプラクティスのブループリントを使用して、新しいランディングゾーンのセットアップを自動化します。
- AWS セキュリティブログの脅威モデリングのアプローチ方法。
2. 車両に搭載されているすべてのハードウェアとソフトウェアのアセットインベントリを管理する。
- 車両に搭載されているすべてのハードウェアとソフトウェアのアセットインベントリを作成し、維持します。このアセットインベントリは、メーカーやモデル、ECU ID または ESN にマッピングされた VIN、ハードウェアとソフトウェアの構成など、車両の主な特徴とともに、コネクテッドビークルのフリートの記録のためのシステムおよび単一の真のソースとして機能します。
- アセットを機能 (セーフティクリティカル、車両制御システム、車両ゲートウェイなど) 、ソフトウエア更新が適用可能かどうか (パッチ適用可能か不可能か) 、ネットワーク設計 (オープンネットワーク用に設計されているか、クローズドネットワーク用に設計されているか) に基づいて分類し、その重要性と最新のセキュリティ制御をサポートする能力を認識します。必要に応じて、リスクを軽減するための代替策を適用します。
- これらのシステムがどのように相互接続されているか、その関係 (アセットの階層構造) を示す最新の車載ネットワークアーキテクチャを作成および維持し、ネットワークアーキテクチャのセキュリティレビューを実施します。
- NHSTA の「現代自動車の安全のためのサイバーセキュリティのベストプラクティス (Cybersecurity Best Practices for the Safety of Modern Vehicles) 」、特に「車両上のハードウェア及びソフトウェアのアセットのインベントリとその管理」に関するセクション 4.2.6 のガイダンスに従います。SPDX や CycloneDX などの業界標準を使用して、ソフトウェアサプライチェーンにおけるコードの可視性、透明性、セキュリティ、完全性を向上させるために、ソフトウェア部品表 (SBOM) を維持します。
参考リソース:
- AWS IoT Core に接続されたデバイスのための AWS IoT Device Management
- クラウドインスタンスとオンプレミスのコンピュータのための AWS Systems Manager インベントリ。
- ソフトウェアパッケージとそのバージョンのインベントリの管理のための AWS IoT Device Management Software Package Catalog 。
- NHSTA の現代の自動車の安全のためのサイバーセキュリティベストプラクティス
3. 各電子制御ユニット (ECU) に固有の ID と認証情報を提供し、認証とアクセス制御のメカニズムを適用する。車両とクラウドサービス間の通信に業界標準プロトコルを使用する。
- 各 ECU および最新の IoT デバイスに一意の ID を割り当て、ECU/デバイスがクラウドサービスに接続する時は、X.509 証明書とそれに対応する秘密鍵、セキュリティトークン、またはその他のクレデンシャルなどを使用して認証しなければならないようにします。
- OCSP またはクレデンシャルの生成、配布、検証、ローテーション、および失効(X.509 証明書の CRL の使用など)を促進するメカニズムを構築します。
- デバイスで利用可能な場合は、Trusted Platform Modules (TPM) などのハードウェアで 保護されたモジュールを使用して、ルートオブトラストを確立します。秘密鍵などの秘密情報は、HSM のような特殊な保護モジュールに格納します。
- 制約のあるデバイス用に設計された軽量メッセージングプロトコルである MQTT のような業界標準プロトコルを使用します。
- 可能であれば、TLS バージョン 1.2 または 1.3 を使用して転送中の暗号化を実施し、セキュリティを強化します。
参考リソース:
- AWS IoT でのセキュリティとアイデンティティ。
- Amazon Cognito は、Web アプリやモバイルアプリの認証、認可、ユーザー管理を提供するサービスです。
- AWS Identity and Access Management (IAM) は、AWS サービスとリソースへのアクセスを安全に管理できるサービスです。
- AWS IoT Core における証明書要件の変更への対応方法に関するガイダンス。
- AWS プライベート CA:AWS プライベート CA は、ルート CA や下位 CA を含むプライベートな認証局 (CA) 階層の作成を可能にします。
4. コネクテッドビークルの脆弱性管理の優先順位付けと実施、およびソフトウェアとファームウェアの更新のための適切な更新メカニズムを定義する。
- ソフトウェアの普及と複雑化に伴い、不具合の数も増加し、その一部は悪用可能な脆弱性となり得ます。脆弱性に対処する際には、重要度 (CVSS スコアなど) に応じて優先順位をつけ、最も重要なアセットからパッチを適用します。
- 車載機器にソフトウェアやファームウェアをプッシュし、セキュリティ脆弱性にパッチを当て、機器の機能を向上させる仕組みを構築します。
- ソフトウェアの実行を開始する前に、そのソフトウェアの真正性と完全性を検証し、それが信頼できるソース (ベンダーの署名入り) から提供されたものであり、安全な方法で入手されたものであることを確認します。
- ソフトウェアのアップデートは、車両が安全な状態になり、さらにユーザーによって確認された場合にのみ実行できるようにします。
- バージョンとパッチの状態を含め、接続されたデバイスフリート全体に展開されたソフトウェアのインベントリを維持します。
- コネクテッドビークルのフリート全体のデプロイ状況を監視し、デプロイの失敗や停滞を調査するとともに、インフラストラクチャがフリートに対してセキュリティ更新をデプロイできない場合は関係者に通知します。
- 車両のソフトウェア更新に関する UNR 156 のような規制や、ソフトウェア更新エンジニアリングに関する ISO 24089 のような規格の範囲と要件を認識します。
参考リソース:
- Amazon FreeRTOS の OTA アップデート。
- AWS IoT Greengrass Core ソフトウェアの OTA アップデート。
- AWS IoT ジョブは、AWS IoT に接続された 1 つ以上のデバイスに送信して実行するリモート操作のセットを定義します。
- AWS Key Management Service (KMS) は、クラウド上の暗号操作に使用される鍵を簡単に作成し、制御することができます。AWS KMS に格納された非対称秘密鍵を使用してソフトウェアパッケージに署名し、対応する公開鍵を使用して ECU で署名を検証できます。
- AWS IoT Device Management Software Package Catalog は、ソフトウェアパッケージとそのバージョンのインベントリを管理し、AWS IoTジョブと統合します。
5. 保管時のデータを暗号化することにより、車両内およびクラウド内のデータを保護し、安全なデータ共有、ガバナンス、および主権のメカニズムを構築する。
- 暗号化と適切なアクセス制御が実装されている場合は、車両とクラウドの保管時のデータを暗号化し、不正アクセスのリスクを低減します。
- 前述のリスク分析に基づいて、コネクテッドビークル・システム全体で収集されたデータを特定し、分類します。
- 潜在的な不正データ改変を特定するために、静止状態の本番データを監視し、完全性チェックを適用します。
- 顧客のプライバシーと透明性への期待と、コネクテッドビークルを製造、配布、運用する法域における対応する法的要件を考慮します。
参考リソース:
- AWS データプライバシー。
- AWS Well-Architected Framework のセキュリティの柱における保管中のデータの保護。
- センシティブなデータを発見し、保護するための Amazon Macie。
- AWS コンプライアンスプログラムとオファリング。
6. 車内で安全でないプロトコルを使用する場合は、ゲートウェイ ECU をクラウドへの安全なブリッジとして使用できます。
- トランスポート層のセキュリティに加えて、機密データをバックエンドシステムに送信する前にクライアント側で暗号化することも検討します。
- 最新のインターネットネイティブ暗号ネットワークプロトコルを選択することで、データ転送、監視、管理、プロビジョニング、デプロイに使用するインバウンドおよびアウトバウンドのネットワーク通信チャネルの機密性と完全性を保護します。
- 可能であれば、特定の環境内で実装されるプロトコルの数を制限し、使用されていないデフォルトのネットワークサービスを無効にします。
- 必要な時に車両がオンラインでない場合 (バッテリーを節約するためなど) を考慮して、信頼できるエンドポイントへの接続を確立するために車両をトリガーする別の方法を実装することを検討します。
参考リソース:
- デバイスを AWS IoT に安全かつ迅速に接続するための AWS IoT SDK。
- 組み込みアプリケーションのネットワーキングとセキュリティのための FreeRTOS ライブラリ。
- AWS Encryption SDK は、クライアントサイドの暗号化ライブラリで、データをクラウドに送信する前に AWS KMS のキーを使用してクライアントサイドで車両データを暗号化するために使用できます。
- AWS KMS を使用することで、クラウド上で暗号処理に使用する鍵を簡単に作成、管理することができる。
7. すべてのコネクティッド・リソース (特にインターネットに接続されたリソース) を強固にし、クラウドサービスへのセキュアな接続と車両へのリモートアクセスを確立する。
- ECU や IoT デバイスなどのインターネットに接続されたネットワークリソースは、Auto ISAC のセキュア設計原則などのベストプラクティスに従って堅牢化する必要があります。
- 車両 ECU のネットワークサービスの利用は、必要不可欠な機能のみに制限します。
- WS サービスへのアクセスには、長期的な認証情報の代わりにデバイスの証明書と一時的な認証情報を使用し、専用の暗号エレメントやセキュアフラッシュなどのメカニズムを使用して、保管時のデバイスの認証情報を保護します。デバイスは、ハードウェアのルートオブトラストとセキュアブートをサポートする必要があります。
- プライベートセルラーネットワークと AWS IoT Core VPC エンドポイントを使用してクラウドへのプライベート接続を確立することにより、インターネットからネットワークトラフィックを分離します。
参考リソース:
- NIST Guide to General Server Security。
- AWS IoT Greengrass ハードウェアセキュリティ。
- Auto ISAC セキュリティ開発ライフサイクル。
- AWS サービスへのプライベート接続のための AWS PrivateLink。
- AWS IoT Core 認証情報プロバイダの VPC エンドポイント。
8. セキュリティ監査と監視の仕組みを導入し、コネクテッドカーとクラウド全体でセキュリ ティアラートを一元管理する。
- 個々の車両やフリートが影響を受ける可能性のある、車両やクラウドリソースの脅威や脆弱性を検出して対応する仕組みを導入します。車載ネットワークとコネクテッド・サービスは、車両コンピューティング・リソースへの不正アクセスの検出をサポートするデータを生成します。
- セキュリティイベント、脅威、脆弱性について車両を監視することをメーカーに義務付ける UNR155 などの規制に注意します。
- ネットワークトラフィックのベースラインを作成し、異常とベースラインへの準拠を監視するために、コネクテッド・ビークル用の監視ソリューションを導入します。
- ネットワークログ、アクセス制御の権限、資産構成の定期的なレビューを実施します。
- セキュリティログを収集し、専用ツール (例えば、車両セキュリティ・オペレーション・センター (VSOC) 内のようなセキュリティ情報・イベント管理 (SIEM) クラスのソリューション) を使用してリアルタイムで分析する。
参考リソース:
- AWS IoT Device Defender は、コネクテッドカーの IoT デバイスのフリートを監視および監査します。
- AWS Config:AWS リソースの構成を評価、監査、評価します。
- Amazon GuardDuty:AWS アカウントとワークロードを保護するために、悪意のあるアクティビティと不正な動作を継続的に監視します。
- AWS Security Hub:AWS のセキュリティチェックを自動化し、セキュリティアラートを一元化します。
- AWS リソースを監視するための Amazon CloudWatch と AWS CloudTrail。
9. インシデント対応プレイブックを作成し、セキュリティ対応の成熟度に合わせて自動化を構築して、イベントを封じ込め、既知の良好な状態に戻す。
- セキュリティインシデント対応計画を維持し、定期的に演習して、監視機能をテストします。
- セキュリティログを収集し、自動化ツールを使用してリアルタイムで分析します。想定外の発見に関するプレイブックを作成します。
- 役割と責任を明確に理解したインシデント対応プレイブックを作成します。インシデント対応プレイブックには、準備手順、識別/トリアージ、封じ込め、対応、復旧、教訓も含めます。
- インシデント対応手順を、ゲームデイや卓上演習で定期的にテストします。
- 手順がより安定するにつれて、その実行を自動化するが、人間による対話は維持します。
参考リソース:
- AWS セキュリティインシデント対応ガイド。
- AWS Systems Manager は、運用に関する洞察を収集し、日常的な管理タスクを実行するための、一元化された一貫性のある方法を提供します。
- AWS Step Functions:AWS Step Functions を使用すると、車両攻撃に関するセキュリティインシデント対応のために、手動承認ステップを含む自動化されたワークフローを作成できます。
- AWS Security Hub は、AWS サービス、パートナー、またはその他のソースから取り込まれた車両固有の調査結果に対応し、格納します。
- AWS での自動化されたセキュリティ対応。
10. NIST の出版物や ISO/SAE 21434 に概説されているような、安全なソフトウェア開発のベストプラクティスに従う。
- “シフトレフト“によって、システム開発の早い段階でセキュリティ対策に取り組み、セキュアなコードを実装します。パイプラインにコードをデプロイしてテストする時に、コードレビューを実施し、静的コード解析、動的アプリケーションセキュリティテストを使用します。製品のライフサイクルのできるだけ早い段階でサイバーセキュリティの管理と仕組みを適用し、開発・リリースサイクルを通じて、製品の寿命が尽きるまで継続的にテストを自動化します。
- サイバーセキュリティはダイナミックで継続的に進化する性質があるため、自動車業界のメンバーは、SAE International、ISO/IEC 33601 に基づく ASPICE フレームワーク、その他の ISO 規格、Auto-ISAC、NHTSA、Cybersecurity Infrastructure Security Agency (CISA)、NIST、業界団体、その他公認の標準設定機関に基づく、またはそれらによって発行された、利用可能なサイバーセキュリティガイダンス、ベストプラクティス、設計原則、標準を常に把握しておくことが重要です。
- Auto-ISAC への参加など、効果的な情報共有を通じて、教訓 (脆弱性の共有など) を業界全体で迅速に採用する方法を制度化します。
参考リソース:
- Well-Architected CI/CD アプローチの選択。
- AWS Well-Architected Framework アプリケーションのセキュリティ。
- Amazon CodeGuru:Amazon CodeGuru Security は、機械学習を使ってセキュリティポリシー違反や脆弱性を検出する静的アプリケーションセキュリティツールです。
- AWS の CI/CD サービスを理解するために、この Complete CI/CD ブログポストをチェックしてください。
- AWS Well-Architected Framework の IoT Lens:アーキテクチャのベストプラクティスに沿った IoT ワークロードを設計、デプロイ、アーキテクトするためのレンズ。
まとめ
このブログポストでは、AWS の多層的なセキュリティアプローチと包括的なセキュリティサービスや機能を使用して、コネクテッドモビリティソリューションを安全に保つためのベストプラクティスのいくつかをレビューしました。AWS のコネクテッドビークル・セキュリティは、オープンスタンダードと認知度の高いサイバーセキュリティ・フレームワークに基づいて構築されています。自動車企業は、AWS のセキュリティサービスや、AWS セキュリティコンピテンシーパートナーが提供する自動車ワークロードのためのセキュリティに特化したパートナーソリューションのネットワークから柔軟に選択できます。 詳細については、AWS の取り組み: オートモーティブ をご覧ください。
この記事は Ryan Dsouza、Maitreya Ranganath、Omar Zoma によって書かれた Ten security golden rules for connected mobility solutions の日本語訳です。この記事は プロフェッショナルサービス本部 IoT コンサルタントの宮本 篤が翻訳しました。