NEP|名古屋大学組込みシステム人材育成プログラム

NCES人材育成プログラム(NEP)
組込みシステムの研究者と技術者を育成します

トップページ > 公開講座 > セキュリティ講座当日の様子

組込み/自動車セキュリティ初級(1回目)開講日の様子

security02

このページでは,多くの方々にお申込み,お問い合わせ頂きました"組込み/自動車セキュリティ初級"講座の当日の概況をご紹介します.有償講座ですので,内容について詳細なご案内は難しいですが,大まかな進み方や雰囲気をご紹介します.

このページでご案内する講座は,2017年06月14日(水曜日)に名古屋大学野依記念学術交流館で実施された回です.次回の募集情報は,組込み/自動車セキュリティ初級(2回目)の概要ページをご覧ください(←クリックいただくと,次回概要ページに移動します).

■1限目:組込みセキュリティ基礎■
情報科学技術や情報サービス全般を対象として,どのようなリスクや脆弱性があるのかについて,近年の世情を交えつつ確認しました.近年,報道されるとこも多いサイバーセキュリティ全般について,概要や典型的な攻撃方法,被害の概況について確認しました.

security03

続いて,自動車のサイバーセキュリティにみとめられる脆弱性の例や,具体的な脅威について,近年の研究報告を挙げながら確認しました.
自動車のサイバーセキュリティを脅かす手法の紹介や,攻撃例についての紹介の後,安全性対策とセキュリティ対策について,業界動向の紹介がありました.

受講者からの質疑も適宜はさみながら進み,“我が国のセキュリティへの取り組みと諸外国の取り組みの差”,“バッファオーバーフローを,セキュリティの脆弱性の文脈ではどのように考えるべきか”,“組込みシステムのセキュリティと安全性の関係”といった質疑がありました.

セキュリティ,安全を考えるひとつの指標として,ISO/IECガイドラインの紹介にはじまる規格の確認や,機能安全への取り組みも踏まえながら,組込みソフトウェアにおける安全の考え方について確認しました.故障によるリスクと,第三者による意図的な攻撃リスク軽減のためのコンセプトについて,紹介がありました.

security04

■2限目:セキュアシステム開発プロセス■
身近な例として,トップページセキュリティを挙げながら,スタートです.何を,如何に守るのかという切り口から始まり,システムのライフサイクルと利害関係者(ステークホルダ)の関係を確認しました.特に"運用"(利用者,販売業者,サポート組織)でのセキュリティ対策の重要性です.ただし,運用段階でのセキュリティを高めることためには,開発設計段階にレジリエントな設計を行うことが不可欠であることを,安全とセキュリティ対策の影響度とコストをイメージしながら確認しました.

セキュアシステムの要件定義を如何に行うかについての紹介では,再度トップページセキュリティを題材にしながら,セキュアな製品開発のために推奨される開発プロセスと,考え方について扱いました.製品の中で守らなければならないもの,その性質,どのような脅威があるのかについて,特に組込みシステムの場合に肝心な,利用者の安全も資産になり得るという観点に基づいて説明しました.

security05

2限目では,安全/セキュリティの脅威分析のための手法について,各手法の考え方,特長や視点,目的(セーフティ,セキュリティ)を整理して,目的に応じて各種法の組み合わせをすることで,より的確な脅威分析が可能となることを確認しました.また,脅威導出をどのように進めるべきかについて,名古屋大学での研究に基づいた提案も交えて考えました.

■3限目:自動車セキュリティの動向■
3限目は,午前中に扱った情報を前提として,車載組込みソフトェアを主たる対象に据えた技術動向の紹介から始まりました.まず,車載電子制御システムの特長や,車載ネットワークとCAN, LIN, FlexRay,CAN FDといった複数のプロトコルの動向紹介,車車間通信の概要を確認しました.自動車産業からの受講者はもちろん,自動車以外の産業に従事されている受講者の方々向けにも,CANについて基礎的な技術概要の紹介や,過去10数年ほどの間の技術革新を,セキュリティ上の課題と関連付けながら紹介しました.

security06

従来の自動車の安全を侵害するようなセキュリティリスクから,"つながるクルマ"に固有のセキュリティリスクについても,現在想定されているセキュリティリスクの紹介もありました.2010年頃まで遡って,身近な自動車と,自動車の脆弱性やセキュリティの現状について幅広い業種の方々向けに説明がありました.その後は車載組込みソフトウェアのセキュリティ対策について,車載制御システムへの攻撃や,車載制御ネットワークへの攻撃,深刻な脅威の例などの紹介を経て,対策と効果の観点から,セキュリティ対策の"相場観"についての紹介がありました.対策不足と過剰対応のバランスの取り方について,3限目までに扱った内容や,現状を踏まえながら説明がありました.

security07

■4限目:自動車セキュリティの取り組み■
4限目は,自動車セキュリティのガイドライン動向に基づいて,safetyとsecurityの確認を行いました.セキュアな製品開発のための開発プロセスの各フェーズの進め方や,ゴールについて,特にゴールの詳細な内容について紹介がありました.組織としてどのようにリスク管理を行うことが求められるのか,組織文化も絡めながらの解説がありました.

4限目は本日の総括を含む時限でもあり,一日をとおして最も難易度の高く,具体的な題材が含まれました.自動車セキュリティの取り組みという題材にふさわしく,国内外の研究事例,各種セキュリティガイドライン概要,脅威への対策技術の紹介が含まれました.アタックツリーによる分析事例の説明や,リスク分析結果について,具体的な例を挙げながら説明がありました.また,EVITAやAUTOSARというキーワードも登場して,セキュアな製品開発を取り巻くアーキテクチャや規格の特長についても解説がありました.
AUTOSARで定義されるセキュリティモジュールや,提供される暗号サービスの特長,リスク対策としてトランケーションを実施する場合の留意点とその理由についても説明がありました.

security08

最後は,組込みシステム研究センター(名古屋大学)をはじめとする国内の研究機関や企業が実施しているセキュリティ監視の方法の紹介や,テスト手法の紹介をとおして,午後の部の総括と,質疑応答の時間がありました.定義することが難しい,情報産業のセキュリティ対策水準の"相場観"をめぐって,どの程度まで対策して,テストすれば良いのかについても振り返りました.
質疑としては,たとえば業種によって期待されるセキュリティへの取り組み方や姿勢について,安全とセキュリティの目指す方向性の確認や検証方法についてといった内容が受講者から出されました.予定通り17時の終了でしたが,クロージング後も講師との名刺交換や,技術相談の時間として,セキュリティについて,考える一日となりました.

■セキュリティを学ぶきっかけとして■
組込み/自動車セキュリティ初級は,時代が求めるセキュアな製品開発のために求められる知識や情報について,基礎的な部分の確認から入り,"何をどのように,どこまで,どの程度守るべきか"というテーマや,実務で担当する上での考え方までを扱う講座です.国内外の動向にとどまらず,研究開発のトレンドの紹介もあります.名古屋大学の研究者が,各テーマを可能な限りゆっくりと説明すること,基礎から先端までを分かりやすく伝えること,が特長です.
下期に開講する,自動車/セキュリティ中級講座への準備としてのご受講がお薦めな講座です.また,この講座を受講された皆さまで,AUTOSARについて学びたい場合は,AUTOSAR概論の受講がお勧めです.他にも,機能安全についての講座(組込み/自動車システムの機能安全規格と安全分析演習)や,更に基礎的な部分を丁寧に扱う講座(組込みシステムのセーフティ/セキュリティ入門)も開講します.ぜひ,ご受講ください.

このページに掲載の情報は,2017年06月14日時点のものです.

■受講された皆さまの声■
2017年06月14日開講の回を受講された皆さまから頂きましたコメントの一部です.

また,ご要望として,

というコメントも頂戴しております.
同様のご要望は,昨年度に受講いただいた皆さまからも頂戴してります.

ご要望にお応えすることをねらって,本年度は,組込みシステムのセーフティ/セキュリティ入門を新設しました.組込み/自動車セキュリティ初級の内容で不安が残る方や,より基礎からしっかりと学びたい方,もう少し質問したいことをお持ちの方も,ぜひ受講をご検討ください.

組込み/自動車セキュリティ初級の内容を踏まえて,"組込み/自動車セキュリティ中級"の演習で,実際に攻撃や防御を体験して頂くこともお勧めです.当日の質疑でもありました,セーフティとセキュリティの違いや取り組み方について,更に詳細には,"組込み/自動車セキュリティ中級"や,機能安全についての講座"組込み/自動車システムの機能安全規格と安全分析演習"の受講を,ぜひご検討ください.

AUTOSARについては1日でセキュリティとAUTOSARを基礎から扱うことが時間的に難しいですが,AUTOSAR概論をはじめ,複数講座を開講いたします.ぜひ,併せてご受講ください.

受講いただいた皆さまの声も参考に,様々なバックグラウンドの方に無理なく楽しんで学んでいただけるような講座のデザインを心がけています.今後とも,NEP公開講座の受講を,ぜひご検討ください.

ページのトップへ戻る