********************************************************************** セッション: SWEST19/ESS2017 合同基調講演 テーマ:Connected Vehicle Platformにおける北米技術動向と、日本の大学生・若手技術者への期待 講師:佐藤 洋介(DENSO International America, INC., North America Research Center, Electronics Platform(e–PF)) 日時:2017/8/24 13:20-14:40 参加人数:約200名 ********************************************************************** アジェンダ □導入 □Over-the-Air(OTA) □質疑応答① □Cyber Security □Connected Vehicle Platform □全体まとめ □おわりに □質疑応答② ----------------------------------------------------------------------- □導入 ■自己紹介 アメリカ・TOYOTA connectedへ出向 Connected Vehicle Platformを開発 学生時代はUML,Design pattern,Java VMなど DENSO入社後AUTOSARに関わり始める ■本日の趣旨 デジタルトランスフォーメーションによるビッグデータ分析技術のブレークスルー キーワード:常時接続,所有から利用へ,自動化・知能化,ユーザーエクスペリエンス □Over-the-Air(OTA) ■Scope ①通信量削減およびセキュリティの担保 ②信頼性 ■DHS SOTA(Uptane) ミシガン大学を中心としたプロジェクトにより定められた規格 特徴 ・ユースケース,failure model,threat modelを定義 ・アップデートフレームワークの定義 ・アーキテクチャ:プライマリECUとセカンダリECUの2つから成る ・設計思想:threat modelをどう防ぐか 考察 ・ECUへの影響 より大きなストレージ・パワーが必要 ECU再配置の加速 ・リファレンス情報として 要件定義やテストケース構築の有用な情報ソース threatは時代とともに変化→常にアンテナを張ることが必要 ■実際のUptane活動に関して ワークショップはLED-Campのような雰囲気 活発な議論を通して,より良い仕様を検討する クラウドを活用してリアルタイムにやりとり □質疑応答① <質問1> Flashという言葉の意味は? <回答> ファイルシステム(POSIX)が搭載されていないECUのことを指す. <質問2> OTAで書き換えるECUのプログラムの範囲は? <回答> Uptaneに関しては,末端のドメインコントロールECUまでを想定している. CANやEthernetを導入したとしても,更新に時間がかかってしまうため. より内部のECUに関しても,書き換え自体は技術的に可能. □Cyber Security ■SAE J3061 自動車のサイバーセキュリティについてのガイドライン ・モチベーション ①既存のものは車載を前提にしていないため利用しづらい ②用語が各OEM間で統一されていない→共通言語化 ③既存の規格をもとにして作る(ISO 26262) ■ISO 26262との比較 ・ISO 26262を知っていれば理解しやすい - ISO 26262におけるSafety GoalをSAE J3061でのSecurity Goalに ・リスクアセスメントはSAE J3061に固有 ■事例 Safety Goalが定義された状態を前提とする 脅威はハザードと同一:意図しない急加速が起きないように セキュア状態は安全状態と同一:ブレーキオーバライド,最高速度オーバライド ポイント:暗号化,機器認証により盗聴,改ざん,なりすましから車を守る ■セキュリティ・アーキテクチャの考え方 IT業界で一般的な「多層防御」を自動車にも適用している ■セキュリティ・アーキテクチャ実現のための要素技術 組込み機器に特徴的な「セキュア〜〜」の技術 攻撃検知を車にも適用できないかが議論の対象 ■Connected Vehicle Platformのセキュリティ機能 膨大な車両情報を侵入検知に活用する ・Signatureベース - 異常パターンをプロファイル化してマッチ判定 - パターンマッチしないと検知できない ・Anomalyベース - 正常パターンを学習,逸脱を判断 - 未知の攻撃を検知できるが,継続学習が必要 - 誤検出が多く,その原因も特定しづらい ・Stateful Protocolベース - 状態モデルとして正常状態を定義,逸脱を判断 - 未知の攻撃も検知可能だが,膨大な計算機パワーが必要 - 状態モデルの定義自体が難しい ■考察 ISO 26262との一貫性も考慮している点は注目に値する プライバシーに関する面が定義されていない点が課題 技術面:アルゴリズムの評価フレームワークはまだ手薄 □Connected Vehicle Platform ■BMW Series7に関するムービー ・自動入出庫のデモ ・ナビのモーションセンサで音量を自動調整 ・スマホでシートを操作 BMW:電子プラットフォームを毎年更新している ■Amazon AWSから見るIoT PFの仕組み ポイント ・デバイス認証 ・メッセージブローカー:ストリーム処理 ・デバイスシャドウ:通信遮蔽時にも車の外のサービスからは車が動作しているように見える ■Connected Vehicle Platform実現への技術要件 ①Vehicle To Cloud通信におけるQoS制御 ・デバイスの世界とサービスの世界を適切に連携させる - 適切なプロトコルの見極め - 通信が不安定な状態での各種制御 ②車両からの大量センサ情報のリアルタイム処理 ・サーバアーキテクチャが主流に - MasterノードはSlaveノードの管理 - データの処理はSlaveノード側で ・サーバの仮想化が重要 - ネットワーク,サーバ,ストレージの仮想化 - 物理的なサーバ構成はリージョンごとに配置を考えなければならない ■関連する北米標準化動向 自動車メーカー以外も参加している ・SMARTDEVICELINK - フォードが立ち上げ,他のOEMを巻き込んでコンソーシアムに ・AUTOMOTIVE GRADE LINUX - トヨタが注力 □全体まとめ ・ポイント:常時接続,所有から利用へ,自動化・知能化,ユーザーエクスペリエンス ・ビッグデータ分析などの受け皿としてのConnected Vehicle Platform ・オープンな規格定義によるエコシステムの構築 ・セキュリティとコンプライアンス ・IoTインフラとの融合 □おわりに ・SWESTで鍛えられたこと - 様々なバックグラウンドの技術者との議論,自分の立ち位置の確認 - 企画運営によるファシリテーション技術向上 - 実行委員会への参加による社外人脈の構築 ・今後のキャリアパスを意識して取り組んでほしいこと - 英語力向上 - 設計力・抽象化能力向上 設計力:多くの解決策から最適なものを選択する 抽象化:本質的な情報を引き出し,それ以外を捨てる判断力 □質疑応答② <質問3> 機能安全とサイバーセキュリティの対比について,サイバーセキュリティは自動車安全と対比して議論すべきでは? <回答> そうだと思います. <質問4> threat modelについて 自動車のハードウェアは交換できないが,車外の計算パワーは上がる. 時の流れにより,計算パワー不足が起こったらどうする? セキュリティ問題から車両を使用禁止する? <回答> いい質問だが答えるのが難しい. 車は将来的に個人所有の車と複数人でシェアされる車に分かれる. 個人所有の車に関しては,趣味性が高いものとなるためケアしなくて良い. シェアする車に関しては,ハードウェアの拡張性の担保が重要となる. 飛行機のようにボードごと交換することになるか.