常にネットワークにつながり、遠隔からの状態監視や、外部からの情報提供が可能になるコネクテッドカー。自動運転社会のクルマは、基本的にコネクテッドカーになる。このネットワーク接続により、ドライバーの安全を守り、より快適な運転・移動を支援することができる。一方で、ネットワーク接続は、クルマをサイバー攻撃の脅威にさらすことにもつながる。ドライバーはもちろん、自動運転社会全体を守るためのサイバー攻撃対策は不可欠である。

自動運転の時代になると、自動車がネットワークにつながるのが当たり前になる。もちろん、単にネットワークにつながり、外部から情報を取得するだけなら今の自動車でも実現できている。

例えばカーナビゲーション向けの情報配信システムであるVICS。1996年にサービスを始めたVICSは、広域情報はFM多重放送で、走行場所近くのエリア情報は道路付近に設置した光ビーコン/電波ビーコンを使って、渋滞や交通規制などの道路交通情報を24時間365日配信し続けている。VICS車載器の累計出荷台数は2016年7月時点で5100万台を超える。「コネクテッドカー」の先駆けとなるシステムと言えるだろう。

では、自動運転の時代では何が変わるのだろうか。違いは、通信で入手するデータの使い手にある。これまではドライバーが使い手だった。これが自動運転車になる。自動運転車は、最新のデータやプログラムをネットワーク経由で取得することを前提に設計されている。データやプログラムを入手できないと、自動運転機能が働かなくなったり、誤った情報に基づいた判断や制御が実施されて事故を起こしたりしかねない。ネットワークに常時つながっている環境を維持することは、自動運転車が正常動作するための必要条件となる。

(写真)米テスラモーターズのSUV「モデルX」。
同社は先進的な運転支援機能を搭載するなど、自動運転に積極的だ

ここで気になるのがサイバーセキュリティだ。ネットワークに常時つながっているということは、常時サイバー攻撃の脅威にさらされていることにほかならない。もし、自動運転ソフトが悪意ある攻撃者の手で書き換えられたら、人命にかかわる事故が起こるかもしれない。

多数の自動運転車のソフトが同時に書き換えられてしまえば、大規模災害につながる危険もある。サイバーセキュリティをどう確保し、どう維持していくのかは、社会が自動運転車を受け入れるために解決しなければならない重要な課題といえる。

安全確保に「ダイナミックマップ」

自動車向けのサイバーセキュリティの現状を知る前に、自動運転車が通信で入手する情報を整理しておこう。入手情報は大きく三つある。

第一は、高精細な3次元デジタル地図と交通関連情報である。デジタル地図はもちろんであるが、渋滞や事故、工事や交通規制、事故多発地点といった交通関連情報も安全運転に欠かせない。

交通関連情報には、道路形状や車線情報、信号機の場所や構造物の形、事故多発地点といった時間の経過による変化が小さい“静的な情報”と、渋滞・事故情報、工事・規制情報、天気などのように時間経過で情報内容が大きく変化する“動的な情報”がある。

自動運転においては、高精細な3次元デジタル地図の中に各種の静的/動的な情報を組み込んだ“多次元地図”を活用することが想定されており、この多次元地図は「ダイナミックマップ」と呼ばれている。自動運転車は、走行エリアのダイナミックマップを随時受信して活用することで安全を確保するのである。

第二は、自動車の中にあるコンピューターで動作するソフトである。具体的には、自動車に埋め込まれた数十のECU(電子制御ユニット)上のマイコンで動作する制御プログラムと自動運転ソフトである。現在の自動車はエンジン、トランスミッションからステアリング、ドア周りまで、さまざまな制御をそれぞれ専用のECUが処理している。ECUはCAN(Controller Area Network)などの車載ネットワークでつながっており、自動運転車ではここに自動運転ソフトもつながる。自動運転ソフトは、車載ネットワーク経由で各ECUに命令を送って運転操作するからだ。

現在、制御プログラムの更新作業はカーディーラーや保守工場で実施されているが、自動運転車は常時ネットワークにつながっているので、そのネットワークを使えば車外から車載ネットワークにアクセスして自動運転ソフトや制御プログラムを更新できるようになる。

管理センターが走行指示

第三の情報は、管理センターからの走行指示情報である。ドライバーレスの完全自動運転車の社会実装に当たっては、複数の自動運転車の運行を管理する「管理センター」を設置し、そこから個々の自動運転車の走行動作を個別に管理・制御する遠隔管理型の運用が見込まれている。

完全自動運転車を用いて人や物を運ぶ移動サービスを提供する場面では、万一の際の安全性確保などの観点から遠隔の管理センターが責任を持って運行を管理し、必要に応じて管理センターから自動運転車に対して走行動作を指示する形となる。

例えば、走行地域に大規模災害が発生し、緊急避難のために走行ルートを急いで変更しなければ危険が生じるような場合、管理センターから管理下の自動運転車に安全かつ渋滞が発生していない迂回路を迅速に知らせる。管理センターの管理下で動作する自動運転車は、自らの判断ではなく、管理センターからの指示を優先して動作するモードを備えており、管理センターの指示に従って走行する。

ただし、この動作モードを備えると、不正な第三者に運行制御を乗っ取られる危険性も出てくる。不正な第三者のなりすましを見破れるように、管理センターと自動運転車の間で、走行指示の送信者が正規の管理センターなのかどうかを見極める仕組みが欠かせない。

無線でプログラムを更新する「OTA」

自動運転車の実用化が急ピッチで進められていることに呼応するように、サイバーセキュリティを高める活動も始まっている。中でも活発なのは、ECUの制御プログラムや自動運転ソフトを外部ネットワーク経由でアップデートする「OTAソリューション」である。

これまでECUの制御プログラムの更新作業は、自動車内部にあるコネクターに保守機器を物理的につないで実施する“有線型”が一般的だった。OTAソリューションでは、携帯電話網や無線LANなどの“無線ネットワーク”を使う。無線を使うことから、無線を意味する「OTA」(over the air)と呼ばれている。

更新作業は緊急を要する場合がある。例えば自動運転ソフトや制御プログラムに不具合があってリコールの対象となるケースだ。OTAがあれば、ユーザーは修理工場やカーディーラーに出向くことなく、自宅で迅速に最新プログラムに更新できる。自動車メーカー側も保守作業の負荷軽減につながることから、OTA機能は自動運転車に欠かせない機能となるかもしれない。実際、自動運転機能を備える米テスラモーターズの自動車はOTA機能を備えており、自動運転ソフトを強化したり、修正したりするときに使っている。

OTAシステムを悪意ある攻撃者に乗っ取られると、自動運転ソフトや制御プログラムを危険なプログラムに書き換えられる危険性があるため、OTAシステムには高いサイバーセキュリティが求められる。

例えば、日立グループが2016年4月に発表したOTAソフトウエア更新ソリューションでは、(1)更新データを暗号化し、(2)メッセージ認証コードと証明書付与でデータの改ざんを防ぎ、(3)機器の相互認証でなりすましを防いでいる(図1)。

(図1)日立のOTAソフトウエア更新ソリューションにおけるセキュリティ技術(出所:日立製作所)

「OTAソフトウエア更新ソリューションは、日立グループ(日立製作所、クラリオン、日立オートモティブシステムズ)がそれぞれの強みを生かして作ったトータルソリューション。セキュリティ強度を高めて安全なOTAを実現する。他ベンダーのECUも対応予定だ」(日立製作所 研究開発グループ 制御イノベーションセンタ グリーンモビリテイ研究部の山岡士朗部長)