**********************************************************************
セッションs3a パネル
テーマ：『組込み／自動車セキュリティ研究の最前線-パネル編』
講師：井上博之(広島大学),倉地亮(名古屋大学),松原豊(名古屋大学),
　　　池田元三(デンソー),後藤文康(アイシン・コムクルーズ)
日時：2016/8/26 10:30〜12:00
参加人数：約50名（終了時）
**********************************************************************

『最近気になったセキュリティの話題は？』
井：Jeepのハッキング
Jeepを物理的改造なく遠隔から操作できる研究
・エアコン、ワイパー、ブレーキ、変則、ステアリングに干渉、自動車の情報が取得可能
・複数の脆弱性
フェイルセーフの基準としているセンサデータをだますことで、ブレーキ、ハンドル等を操作可能
・自動運転用センサに対する妨害として
　・超音波センサへのジャミング
　・超音波センサへの妨害
　・ミリ波データへのジャミング
　・カメラへの妨害

池：先生方に質問「セキュリティという言葉は日本語にならないのか」
倉：自動車ではシートベルト、エアバック等をセキュリティととらえ、ほかの分野では防犯をセキュリティをととらえることがあり、分野によって様々な意味を持つ
池：セキュリティは悪意を持った操作に対して無防備ではよくないと考える

後：自動車は外側よりも中側からの侵入に対して弱いのではないか。自動車業界では中からの侵入に対して検討が進んでないように思える。
a：侵入の段階としては、まず、物理的なアクセスがある状態で何でもできるようになる。次に、遠隔になるという段階をふうと考える。
b：例えば、マフラー粘土を詰めたりブレーキオイルを抜いたりと、車には大量の物理攻撃ができてしまう。対して、情報的な操作による攻撃は限られてくるので対策がしやすい。
そのため自動車業界の方はその対策をとるのが難しいので、その対策を考えたくないと思っているのではないか。
池：物理的操作では一台に対してだが、情報的な操作に対して遠隔操作を用いれば、一度に数万台に影響が出る恐れがあるため、影響力の大きさを考えたとき情報的な操作に対する対策をとっているのではないかと考えられる。

b：悪意がない妨害(障害物を超音波センサへの妨害ととらえる)への対策もセキュリティと考えるのはどうなのか。それは製品のクオリティにかかわってくるのではないか。すべてをセキュリティと考える必要はないのではないか。
池：攻撃というよりは、それに関する脆弱性を示している。
b：脆弱性というワードに疑問がある。セキュリティで言われている脆弱性はどのように定義されているのか。脆弱性の話よりもセンサの性能によるものと感じたため、セキュリティとして考えるのは不適切ではないか。
池：確かにその通りである。
松：それは脆弱性の言葉の定義の差ではないのか。根本的な意味に、違いはないのではないか。
池:メーカーでは起こりうることに対してロバスト性がないのが脆弱性、通常起こりうることをセーフティとしてとらえており、その線引きラインが上がってきている。
c：障害物センサを、障害物を認識するものととらえると脆弱性となるのではないか。
松：このパネルで扱ったものは極端な例であり、実用的ではない。
池：ホームの転落事故の例で考えると、ホームに柵があるのがセーフティであり、ホームに人を投げ入れるような人に対して、その人が投げ入れられないような高さの柵を作るのかということを考えるとそうではない。考えてみる必要があるのがセキュリティである。

d：リスクコミュニケーションに関してユーザにリスクを伝えないことも多い。セキュリティに関してどの程度、作り手とユーザがコミュニケーションをとるべきなのか。
池：エンドユーザまでリスクをすべて伝えるべきであるとは考えていない。
池：現場のエンジニアはビジネスのことは考えていない。まずは、ユーザの立場を考える。
その後、企業の事情を考えたのちその予算内でできる案を思案する。
倉：Cybersecurity Cultureではユーザを考慮するようにしている。
d：目に見えない(メモリ保護、コスト等)ことに対してもコミュニケーションをとることが大切だと考えている。
e:品質確保の議論に落ち着いてきていてこの議論は何年もされてきていると感じた。
池:品質をどこまで考えるのか。技術力の不足で品質が悪くなることはあるが、商品提供しているときは100%と考えている。
e：監査では何を優先にするのか。
f：従来と違うのは十分なセキュリティ対策がある場合、罰せられるべきは攻撃した人ではないか。
e：セキュリティレベルは各業界で合わせるべき。
g：車はセキュリティに関しては特殊であり、攻撃した結果を公表する社会になれば面白くなる。
h：耐久性を考える際、20年程度を考慮するため、攻撃側の技術が上がっている。セキュリティ対策として、どれぐらいの年月を考慮するのが適切か。
池：少なくともソフトウェアだけは簡単に更新できるようにしている。また、その更新手段はセキュアにしておく。ハードに関しては厳しい。
h：自動車に対して法的な手段で安全性を確保する。(車検の方法等)


倉：
１．BoschがCANの改良プロトコルとしてPlug and Secureを提案
２．自動運転車に対するセキュリティ
３．自動車セキュリティの人材を増やす(海外では1週間で自動車をハッキングする方法を学び脆弱性をレポートするという合宿形式のセミナーがある)

『自動車セキュリティの人材を増やす』
後：人材育成に関する取り組みはやるべきとは考えるが、人材育成におけるスキルの判断方法は業界的にあるのか。
倉：セキュリティに関する明確な基準はない。攻撃,脅威はやってみないとわからない面が多い。海外のセキュリティツールを購入して使うという方法もある。
池：セキュリティに関する人材を増やすこと、またその、リクルートを増やしていく必要はある。学生がインターンの期間ではなく1,2年というスパンで本当に働いてみてよければ就職といった環境を作ることも必要。

松:セキュリティを学ぶ方法
・イベントが豊富→興味を持つ人が増加→地域、大学レベルに拡大→企業の技術力向上→国レベルに拡大→イベント開催→イベントが豊富

池:セキュリティに対して重要性を実感させることが大切と考える。セキュリティはユーザにはマイナスを防ぐだけでプラスではないため、如何にユーザに重要性を伝えていくかが大切。
倉:
・CyberAuto Challenge日本版は可能か？
・現在はサイバーセキュリティが中心
　・SECCON
　・セキュリティ・キャンプ

I：実際に人材を生かせる環境,その受け皿はあるのか。
池：企業の立場としてはあると考える。
I：企業内失業者がいる事実もある。

池：影響力が大きくなるため、国レベルの規格が必要になってくる。国に提言できる大学から発信していってほしい。


まとめ
自動車のセキュリティに関する脆弱性、また、そのセキュリティに関する人材育成について議論した。