**********************************************************************
セッション: SWEST19/ESS2017 合同基調講演
テーマ:Connected Vehicle Platformにおける北米技術動向と、日本の大学生・若手技術者への期待
講師:佐藤 洋介(DENSO International America, INC., North America Research Center, Electronics Platform(e–PF))
日時:2017/8/24 13:20-14:40
参加人数:約200名
**********************************************************************
アジェンダ
□導入
□Over-the-Air(OTA)
□質疑応答①
□Cyber Security
□Connected Vehicle Platform
□全体まとめ
□おわりに
□質疑応答②
-----------------------------------------------------------------------
□導入
■自己紹介
アメリカ・TOYOTA connectedへ出向
Connected Vehicle Platformを開発
学生時代はUML,Design pattern,Java VMなど
DENSO入社後AUTOSARに関わり始める
■本日の趣旨
デジタルトランスフォーメーションによるビッグデータ分析技術のブレークスルー
キーワード:常時接続,所有から利用へ,自動化・知能化,ユーザーエクスペリエンス
□Over-the-Air(OTA)
■Scope
①通信量削減およびセキュリティの担保
②信頼性
■DHS SOTA(Uptane)
ミシガン大学を中心としたプロジェクトにより定められた規格
特徴
・ユースケース,failure model,threat modelを定義
・アップデートフレームワークの定義
・アーキテクチャ:プライマリECUとセカンダリECUの2つから成る
・設計思想:threat modelをどう防ぐか
考察
・ECUへの影響
より大きなストレージ・パワーが必要
ECU再配置の加速
・リファレンス情報として
要件定義やテストケース構築の有用な情報ソース
threatは時代とともに変化→常にアンテナを張ることが必要
■実際のUptane活動に関して
ワークショップはLED-Campのような雰囲気
活発な議論を通して,より良い仕様を検討する
クラウドを活用してリアルタイムにやりとり
□質疑応答①
<質問1>
Flashという言葉の意味は?
<回答>
ファイルシステム(POSIX)が搭載されていないECUのことを指す.
<質問2>
OTAで書き換えるECUのプログラムの範囲は?
<回答>
Uptaneに関しては,末端のドメインコントロールECUまでを想定している.
CANやEthernetを導入したとしても,更新に時間がかかってしまうため.
より内部のECUに関しても,書き換え自体は技術的に可能.
□Cyber Security
■SAE J3061
自動車のサイバーセキュリティについてのガイドライン
・モチベーション
①既存のものは車載を前提にしていないため利用しづらい
②用語が各OEM間で統一されていない→共通言語化
③既存の規格をもとにして作る(ISO 26262)
■ISO 26262との比較
・ISO 26262を知っていれば理解しやすい
- ISO 26262におけるSafety GoalをSAE J3061でのSecurity Goalに
・リスクアセスメントはSAE J3061に固有
■事例
Safety Goalが定義された状態を前提とする
脅威はハザードと同一:意図しない急加速が起きないように
セキュア状態は安全状態と同一:ブレーキオーバライド,最高速度オーバライド
ポイント:暗号化,機器認証により盗聴,改ざん,なりすましから車を守る
■セキュリティ・アーキテクチャの考え方
IT業界で一般的な「多層防御」を自動車にも適用している
■セキュリティ・アーキテクチャ実現のための要素技術
組込み機器に特徴的な「セキュア〜〜」の技術
攻撃検知を車にも適用できないかが議論の対象
■Connected Vehicle Platformのセキュリティ機能
膨大な車両情報を侵入検知に活用する
・Signatureベース
- 異常パターンをプロファイル化してマッチ判定
- パターンマッチしないと検知できない
・Anomalyベース
- 正常パターンを学習,逸脱を判断
- 未知の攻撃を検知できるが,継続学習が必要
- 誤検出が多く,その原因も特定しづらい
・Stateful Protocolベース
- 状態モデルとして正常状態を定義,逸脱を判断
- 未知の攻撃も検知可能だが,膨大な計算機パワーが必要
- 状態モデルの定義自体が難しい
■考察
ISO 26262との一貫性も考慮している点は注目に値する
プライバシーに関する面が定義されていない点が課題
技術面:アルゴリズムの評価フレームワークはまだ手薄
□Connected Vehicle Platform
■BMW Series7に関するムービー
・自動入出庫のデモ
・ナビのモーションセンサで音量を自動調整
・スマホでシートを操作
BMW:電子プラットフォームを毎年更新している
■Amazon AWSから見るIoT PFの仕組み
ポイント
・デバイス認証
・メッセージブローカー:ストリーム処理
・デバイスシャドウ:通信遮蔽時にも車の外のサービスからは車が動作しているように見える
■Connected Vehicle Platform実現への技術要件
①Vehicle To Cloud通信におけるQoS制御
・デバイスの世界とサービスの世界を適切に連携させる
- 適切なプロトコルの見極め
- 通信が不安定な状態での各種制御
②車両からの大量センサ情報のリアルタイム処理
・サーバアーキテクチャが主流に
- MasterノードはSlaveノードの管理
- データの処理はSlaveノード側で
・サーバの仮想化が重要
- ネットワーク,サーバ,ストレージの仮想化
- 物理的なサーバ構成はリージョンごとに配置を考えなければならない
■関連する北米標準化動向
自動車メーカー以外も参加している
・SMARTDEVICELINK
- フォードが立ち上げ,他のOEMを巻き込んでコンソーシアムに
・AUTOMOTIVE GRADE LINUX
- トヨタが注力
□全体まとめ
・ポイント:常時接続,所有から利用へ,自動化・知能化,ユーザーエクスペリエンス
・ビッグデータ分析などの受け皿としてのConnected Vehicle Platform
・オープンな規格定義によるエコシステムの構築
・セキュリティとコンプライアンス
・IoTインフラとの融合
□おわりに
・SWESTで鍛えられたこと
- 様々なバックグラウンドの技術者との議論,自分の立ち位置の確認
- 企画運営によるファシリテーション技術向上
- 実行委員会への参加による社外人脈の構築
・今後のキャリアパスを意識して取り組んでほしいこと
- 英語力向上
- 設計力・抽象化能力向上
設計力:多くの解決策から最適なものを選択する
抽象化:本質的な情報を引き出し,それ以外を捨てる判断力
□質疑応答②
<質問3>
機能安全とサイバーセキュリティの対比について,サイバーセキュリティは自動車安全と対比して議論すべきでは?
<回答>
そうだと思います.
<質問4>
threat modelについて
自動車のハードウェアは交換できないが,車外の計算パワーは上がる.
時の流れにより,計算パワー不足が起こったらどうする?
セキュリティ問題から車両を使用禁止する?
<回答>
いい質問だが答えるのが難しい.
車は将来的に個人所有の車と複数人でシェアされる車に分かれる.
個人所有の車に関しては,趣味性が高いものとなるためケアしなくて良い.
シェアする車に関しては,ハードウェアの拡張性の担保が重要となる.
飛行機のようにボードごと交換することになるか.