V-SOC（車両セキュリティオペレーションセンター）構築支援

V-SOCが求められる背景

国連欧州経済委員会（United Nations Economic Commission for Europe）の「自動車基準調和世界フォーラム（WP29）」の「自動運転」（GRVA）分科会が策定したサイバーセキュリティ法規基準により、自動車業界は同法規基準に記されたサイバーセキュリティマネジメントシステム（CSMS）の整備を迫られています。CSMSが求める要件のうち、「車両に対するサイバー攻撃の検知・対応」および「サイバー攻撃の検知を支援するログデータの確保・フォレンジック」の2つに対する解決策として期待が寄せられているのがV-SOCです。

V-SOC構築の要諦

ITセキュリティ領域におけるSOC（IT-SOC）と比べ、V-SOCは新しい分野のため、検討すべき事項が幅広く、チャレンジングな課題となります。車両セキュリティの特徴を考慮し、全体の計画を策定する必要があります。

車両セキュリティを取り巻く脅威の把握、分析

車両と通信するさまざまなサービスやデバイスを把握し、網羅的に脅威分析を実施した上で、対策すべき脅威および検知すべきポイントを整理する。

• 例えば、コネクテッドサービス（およびサーバー）へのサイバー攻撃は、車両に影響を与える脅威となり得ます。コネクテッドサービスをV-SOCの検知範囲とするのか、既存のIT-SOCが対応し、V-SOCと連携したプロセスを構築するのか、検討が必要となります。また、OEMにて作成したアプリをスマートデバイスにインストールしてサービスを提供する場合、車両に持ち込まれるスマートデバイスも検知すべきポイントとなる可能性があります。

攻撃の検知と追跡を可能とする管理対象の明確化

収集／分析対象とすべき情報（ログ）を明確にする

• CAN通信（およびEthernet^*1）、カーナビなどのデバイスの利用履歴、コネクテッドサーバーの操作ログ、社内のカメラ映像データなど、収集して分析する情報を明確にしなければなりません。

ログの保存場所、保存内容、保存方法、収集方法等の全体方針を整理する

• 現状、多くの車両はCAN通信などのログを保存する機構を持っていません。「車両内にログを保持する機構を持たせるのか（持たせる場合は、1カ所にするのか、分散させるのか）」「ログは車両外にリアルタイムで連携するのか、定期的に連携するのか、不定期で物理的な方法で連携するのか」「どの程度の保存容量を確保可能か」「どのような内容のログを保存すると有効なのか」などについて、車両開発に係る全社的な中長期的戦略を踏まえたうえで、V-SOCとして実施すべきことを明確にする必要があります。
• インシデント調査時に適切なフォレンジックを実施可能とするため、ログの改ざんを防止する必要があります。またログの保存、保護方法を明確にし、調査プロセス、調査手順を整備しなければなりません。

車両ユースケースを考慮した検知フローおよび検知仕様の設計

異常をどこで検知し、誰に伝えるかを明確にする

• SIEM側だけでなく、車両内で異常を検知することも必要となります。ECUのSWの標準仕様を策定しているAUTOSARは、IDS（Intrusion detection System：侵入検知システム）機能の開発、実証を進めています^*2。車両内に複数のIDSセンサー、IDSマネージャーを配置することで車両の異常を検知することができますが、過剰検知となることも想定されます。適切に運用するためには、検知情報の分析および精査、検知ルールのチューニングなどさらなる検討が必要です。
• 運転者（所有者）の有無は、V-SOCとIT-SOCとの大きな違いの1つです。検知した情報をいつ、どのように運転者（所有者）に伝えるのかを明確にすることが求められます。
• 発生した事象と製品セキュリティの関係（故障 and／or 攻撃）を判断するため、必要な情報や判断ロジックを整理しなければなりません。
  

企業としてのセキュリティ体制強化

企業内に存在するPSIRT（Product Security Incident Response Team）、CSIRT、IT-SOCとの役割分担を整理する

• 多くの企業が、PSIRT、CSIRT、IT-SOCの体制を構築済、または構築中です。V-SOCの構想および構築においては、これら社内のセキュリティ組織との役割分担を整理し、円滑に連携できる体制を構築することが必要となります。