11月15日から17日にパシフィコ横浜(横浜市)で開催された「EdgeTech+」の企画展「オートモーティブソフトウェアエキスポ」において、東陽テクニカは各種開発支援ツールを展示していた。
オートモーティブ分野におけるソフトウェアの重要性は増すばかりだ。この話は、単に車両の主要コンポーネントの電子制御領域が広がるというだけではない。これまで電子制御可能なコンポーネントはECU(ソフトウェア)と一体化していたものが、ソフトウェアとハードウェアが別々のコンポーネントとして分離が進んでいることも意味する。すでに、現在の平均的な自動車1台に組み込まれているプログラムの行数(コード数)は500万行、1000万行とも言われている。コネクテッドカーになると、クラウド上のシステムやアプリとも連携する必要があるため、1台の車両に関係するプログラムコードはさらに膨大になる。
このような状況で、メーカーやサプライヤーが考えなければならないのは、ソフトウェアの開発効率アップ、バージョン管理、OTAを含む稼働コードのメンテナンス、そしてセキュリティだ。東陽テクニカは、これらの課題を支援するソリューションを展示していた。
3Gの時代から通信モジュールが自動車に搭載されるようになって、他の産業と同様に大きく様変わりした。その後OTAの普及によって、CAN内のECUに搭載されるHSM(ハードウェアセキュリティモジュール)やCANとIVIの間のゲートウェイのような境界防衛では十分と言えなくなってきた。法的には、設計安全だけでなく機能安全も求められる現在、稼働中システムの侵入検知や整合性の担保も行う必要がある。また障害、汚染時には問題の排除といったインシデントレスポンスも必要だ。
対策にはいくつもアプローチや方法はある。予防安全、設計安全のひとつに脆弱性診断がある。東洋テクニカの「VCode」は、ソフトウェアの脆弱性を事前に検査、発見するためのツールだ。ソフトウェアの脆弱性診断(システムやプログラムを解析して攻撃可能な機能、操作、バグなどを発見する)は、ITシステムやWebサイトでは一般的に行われている。
VCodeの特徴は、ソースコードの記述内容から脆弱性を判断するのではなくオブジェクトコード(バイナリーベース)で脆弱性の診断が可能なことだ。オブジェクトコードだけで診断ができるということは、自社でコーディングしたプログラムだけでなく、オープンソースライブラリのコード、購入した市販プログラムのコードに対しても調べられることを意味する。現在のソフトウェアは、有償・無償を含め無数のライブラリコードやミドルウェアやフレームワークが生成するコードによって構成される。バイナリーレベルの脆弱性診断は、組み込みシステムではサプライチェーン攻撃の対策のひとつだ。
「XGuard」はシステムへの侵入や不正な操作(制御フローの整合性:CFI)、ファイルの改ざんなどを自動的に検知してくれるシステムだ。このようなシステムはIDS/IPSなどに分類される。侵入を検知し、それを排除する。検知の原理は、小規模なエージェントプログラム(常駐プログラム、サービスまたはデーモンと呼ばれるプロセス)をインストールし、これがIoT機器や組み込みシステムの状態を監視してデータを送る。管理システムは、システムの正常な状態をホワイトリスト化するので、リストになプロセス、プログラム、ファイルがあれば発見できる。
VCodeおよびXGuardは、Karamba Securityの製品で、東陽テクニカは商社としてこのソリューションを国内展開している。
