ねえ、チャーリーミラー！自動運転車の確保について話しましょう

チャーリーミラーに関する最近のワイアードの記事（ジープをリモートでハッキングして制御することで有名）は、安全な自動運転車を構築するために「企業間のオープンな会話と協力」が必要な前提条件であると述べています。かつては死にかけていましたが、新たに復活した（ビッグスリーの救済を覚えていますか？）自動車産業の未来を支配するために非常に多くの企業が競争しているとき、これはかなり遠慮がちです。記事のその部分は素朴に聞こえますが、私が本当に驚いたのは、セキュリティの再設計に対する答えは自動運転車業界だけにあるという意味でした。

セキュリティの概念は自動運転車に限定されていませんですから、そのようなふりをすることには何のメリットもありません。すべてのIIoT業界は同様の問題を解決しようとしており、驚くべきことにその結果を共有することにオープンです。ミラーがセキュリティの理想的なソリューションを作成するために、他のすべての業界を通じて啓蒙の旅に出る必要があると言っているのではありません。これは、インダストリアルインターネットコンソーシアム（IIC）の賛辞である私たちのためにすでに行われていると言っています。

IICは、Bosch、Denso、TTTechなどの自動車サプライヤーを含むいくつかの業界の250以上の企業で構成されており、セキュリティ、安全性、パフォーマンス、そしてもちろん接続システムのコストのバランスを取るという同じ基本的な問題があります。 有線の場合 とミラーはオープンな会話を探しています–それはIICで起こっています。 IICは、「無料のビール」のように、誰もが無料で利用できる産業用インターネットリファレンスアーキテクチャを公開しました。特に、車があなたのために運転している場合はそうです。このドキュメントの拡張機能は、Industrial Internet Connectivity Framework（IICF）とIndustrial Internet Security Framework（IISF）です。これらのドキュメントは、ビジネスの観点から実装に至るまでのガイダンスを提供します。IISFは、有線に対応しているため、特に適用可能です。 接続エンドポイントとそれらの間を通過するデータの保護について簡単に説明します。

私と一緒に乗って、潜在的な敵から保護するためにコネクテッドカーのアーキテクチャを変更する方法を確認してください。車に対する既知の悪意のある攻撃はないため、ミラーのジープハッキングから始めることができます。 Harmon Kardonヘッドユニットのバックドア「機能」のおかげで、Millerは保護されていないリモートコマンドを非常に簡単に実行できました。この最初のエクスプロイトを通じて、彼はCANバスに接続されたチップを再プログラムすることができました。そこから、彼は車をほぼ完全に制御できました。 「保護されていないインターフェースを削除するだけ」とお考えですか？

ミラーはそこで止まらなかったでしょうから、私たちも止まらないでしょう。 ARMチップを再プログラムするためのアクセスを許可するエクスプロイトをまだ見つけることができたと仮定すると、 Wired’s この記事は、認証されたアプリケーションの確立を正しく提案しています。おそらく、基盤となるカーネルのセキュアブートから始め、重要なソフトウェアの次の段階でARM Trust Zoneを活用し、より高いレベルのOSおよびアプリケーションプロセスに何らかの認証を実装します。デバイスエンドポイントは、信頼できるアプリケーションスタックのように見え始める場合があります（下の図1）。現在、このヘッドユニットのコストは推測できますが、公平を期すために、これらは信頼できるアプリケーションを実行するための有効な考慮事項です。現在の問題は、安全なことは言うまでもなく、実際には何にも接続していないことです。心配しないでください、私はあなたを道端に置き去りにしません。

これらの信頼できるアプリケーションの多くはCANバスに直接接続し、CANバスは間違いなく攻撃対象領域を車両制御に拡張します。これらのアプリケーション間で受け渡されるデータは、許可されていないデータの書き込み者と読み取り者から保護されていません。自律型タクシーの場合、有線 指摘するように、潜在的なハッカーはターゲットに物理的にアクセスできるようになり、アプリケーションを乗っ取ったり、詐欺師を紹介したりする可能性が高くなります。ここで問題は次のようになります。アプリケーションは相互に信頼でき、CANバス上のデータを信頼できるでしょうか。インストルメントクラスターは外部温度データをどのように信頼しますか？本当に必要ですか？多分そうではなく、それは大丈夫です。ただし、車両制御にはLIDAR、レーダー、カメラなどを信頼する必要があると確信しています。誰もが心配したくない最後のことは、ハッカーが車をリモートでジョイライドに連れて行くことです。

私たちは実際にデータの信頼性とアクセス制御について話し合っています。ミラーのハッキングに対するリスクをさらに軽減する2つの規定です。レガシーアプリケーションを保護することは良いステップですが、許可されていないデータのプロデューサーがシステムに導入されるシナリオを考えてみましょう。この侵入者は、CANバスにコマンド（ステアリングとブレーキを制御するメッセージ）を挿入できます。 CANバスは、データの許可されていない発行者を防止したり、データが認証されたプロデューサーからのものであることを保証したりしません。 CANバスを交換することが前進の道であることを示唆しているわけではありませんが、よりデータ中心のソリューションに交換するという考えに反対しているわけではありません。現実的には、Data Distribution Services（DDS）のようなフレームワークを使用すると、IISFのガイドに従って階層化アーキテクチャを作成できます（下の図2）。 CANバスと重要なドライブコンポーネントは事実上レガシーシステムであり、DDSデータバスバリアを作成することでセキュリティリスクを軽減できます。その後、車両制御をさらに損なうことなく、DDSを使用して新しいコンポーネントを安全に統合できます。では、DDSとは何ですか？そして、それはどのように私の車を保護するのに役立ちますか？よろしくお願いします。

ピアツーピアで通信する自動車のセンサー、コントローラー、およびその他の「参加者」のネットワークを想像してみてください。すべての参加者は、必要なデータのみを別の参加者から受け取り、その逆も同様です。ピアツーピアを使用すると、そのネットワークの参加者は相互に認証でき、信頼できるアプリケーションが維持される場合は、信頼できる接続も維持されます。これらのピアツーピア接続をどのように保護しますか？ TLSでしょ？可能性はありますが、車両のセキュリティを確保することは複雑であるため、パフォーマンスとセキュリティの間でトレードオフを行い、アクセス制御メカニズムを適用する柔軟性が必要です。

少しバックアップして、産業用制御システムの接続に関するガイダンスを提供するIICFについての会話をもう一度見てみましょう。 IICFは、既存のオープンスタンダードを識別し、それらを産業用IoTシステムの正確な機能に簡潔に帰属させます。中核となる自動運転車は、見た目はクールですが、オプションのレザーシートを備えた洗練された空力ボディを備えた産業用IoTシステムです。では、IICFは、産業用IoTシステム、より具体的には自律システム用のソフトウェアを統合するために何を提案しているのでしょうか。ご想像の通り！ DDS：Object Management Group（OMG）によるオープンな会話を通じて設計および文書化されたオープンな標準セット。 DDSを活用する理想的な自動車ソリューションでは、システムアプリケーションが必要なメッセージのみをパブリッシュおよびサブスクライブできます（自律型アーキテクチャのビューについては、以下の図3を参照してください）。このデータ中心のアプローチにより、安全性の重要性やデータの整合性の必要性に基づいて、メッセージをアーキテクチャ的に分類できます。

自動運転車の接続ソリューションを確立したので、セキュリティとTLSの代替案（データ中心のメッセージングフレームワーク用のデータ中心のセキュリティソリューション）について話を戻すことができます。 DDSセキュリティを使用すると、産業用IoTシステムアーキテクトはセキュリティプラグインを使用して、セキュリティとパフォーマンスのトレードオフを微調整できます。これは、TLSでは提供されない必要な機能です（下の図4）。選択したデータトピックのみを認証し、それ以上は認証しませんか？チェック。機密情報のみを暗号化し、それ以上は暗号化しませんか？チェック。実際にはもっとあります。集中型ブローカーは別として、DDS Securityは、単一の脆弱性なしに特定のトピックを公開またはサブスクライブできる参加者を指示する分散アクセス制御メカニズムを提供します。これは、ミラーの無許可のアプリケーションが、ブレーキまたはステアリングを制御するコマンドを公開する許可を拒否されることを意味します。または、ミラーが移動中のデータを危険にさらした場合、データサブスクライバーはメッセージを暗号で認証し、確立されたポリシーに一致しないものをすべて破棄する可能性があります。自動運転車は完全に安全になったと言えますか？いいえ、ミラーがそれを完全に明らかにしたので、私たちはまだもっと会話が必要です。ただし、DDSとDDSセキュリティは、自律システムの接続と保護に必要な前向きな柔軟性を提供すると確かに言えます。

つまり、チャーリーミラー氏（そしてもちろんクリスバラセク氏）にとって、あなたの仕事は素晴らしく、ビジョンを刺激しますが、必要に応じて業界全体を見渡す必要があると思います。自動車建築の再設計について率直に話し合う。あなたと世界中の他のすべてのチャーリーミラーがそのオープンな会話をしたいときは、私たちのドアをノックしてください。 RTIでは、自律性、産業用IoT、安全性とセキュリティ、そして明日の車を定義する必要があると思われるその他すべてについてお話しする準備ができています。