Fujitsu Standard Tool - trustedcomputinggroup.org€¦ · 弊社Mobility IoT...

2017年9月26日

富士通株式会社Mobility IoT事業本部

Mobility フロントシステム事業部セキュリティ戦略担当

TCG常任理事、組込系WG共同議長、自動車サブG共同議長

小谷誠剛

TCGに於ける自動車関連検討状況/展望

TCG-JRF-Tech Seminar 講演資料

Copyright 2017 FUJITSU LIMITED

本日の内容

1 Copyright 2017 FUJITSU LIMITED

TCGのWorking Groupとして組込み機器向け検討を行うEmbedded Systems WGを2011/4に設立。そのWG内で自動車向けに特化したVehicle Services Sub Groupを、トヨタ自動車様との共同議長として2012/9に設立。そのSGを中心として種々の活動を行っている。

例として、自動車向けTPMの仕様確定/公開(2015/3)、米国の国家道路交通安全局（NHTSA）からの自動運転車ポリシーに関する意見募集に意見提出(2016/11)等がある。これら活動、その内容を紹介し、今後の展開/展望を説明する。

弊社Mobility IoT 事本、その中でのTrusted Computing/TCG 位置付け、概要ご紹介

TCGの自動車への応用、TCG内での自動車関連活動

TCGメンバーと連携した日本、世界戦略

まとめ、繋がるクルマから考えるIoT時代に向けた社会インフラの将来像への提言

本日の内容






(ご参考)Mobility IoT事本(2016/2~)のコンセプト■ 自動車を中心としたあらゆる移動手段を取り巻くビジネスの変革・自動化に向けて、富士通はIoTからクラウドまで高機能・高性能な統合プラットフォームを提供することにより、Mobility分野のグローバルサービサーを目指します

コンセプト：Mobility as a Service（MaaS）＋ Mobility IoT Platform■ さらに「ヒト」中心の高度なセンサー・AI技術などにより、様々な人の移動シーンを安全・安心・快適にサポートします

コンセプト：Human Centric Mobility

BigData

車載領域センター領域

両輪

Mobility IoTソリューション

Mobility as a Service

「自動車OEMセンター」「自動運転中央センター」

生体/物体センサー

ﾋｭｰﾏﾝｾンﾄﾘｯｸﾃｸﾉﾛｼﾞ-

クラウドプラットフォーム

予知・予測、走行補完支援 etc.

Mobility関連データ異業種提供

保険会社

自治体/警察/警備

物流・運輸（商用車）

道路・建設 etc.

<

弊社M

ob

ility Io

T

事業の全体像>

Mobility IoT PlatformHuman Centric Mobility

Copyright 2017 FUJITSU LIMITED3


Trusted Computingの提案

ネットワークによって全てがつながる(製品寿命が異なる機器含めて管理必須)

リモートでソフトウェアによる機能拡張・修正が一般化

相互信頼確認が必須

対面で五感を駆使した値踏み、目視、握手、会話

信頼度判断・判定仕組みで、「守る」のではなく、「救う」

個人情報扱いへの配慮しつつ

信頼

人・機器・環境(状態)情報を相互に交換し、確認し合うことによって適切(0~1)な信頼関係を築く⇒新しい機能・サービスの提供

全てがつながる従来

これから

重要三項目のクリアが課題- その時点での相手状況の正確な把握- 処理完遂(あるいは未完)の確認- 将来に渡る証拠(ログ)保存(免責)

各種リモートメンテナンスの必須要件Accountability

Who What How

2011年 100億台2020年 500億台*

*「富士通グループ社会・環境報告書2012」 2012年8月http://jp.fujitsu.com/about/csr/reports/

4


信頼できるプラットフォーム/インフラ構築のため、ハードウェア、ソフトウェアの業界標準、統合的仕様の開発、普及を目的とするNPO

http://www.trustedcomputinggroup.org/, http://www.trustedcomputinggroup.org/jp (日本支部)

2003年発足HP, IBM, Intel, MSが設立した

団体(TCPA, 1999年)を改組

理事13社(上記+AMD,Cisco,Dell, Fujitsu, HPE, Huawei, Juniper, Infineon, Lenovo)

世界約130社/組織が加盟(9/’17現在)

多数国家機関(日,米,英,独,仏,中,印,加)、

/大学がリエゾン、招聘専門家として参画(日本からはNICT, IPA, 名大, 広島市大が参加)

米国/EUの政府調達要件盛込み済

(1/’06~)、日本は検討中

Trusted Computing Group (TCG)とは

Virtualized PlatformMobile Phones

Applications

Storage

Infrastructure

ServersDesktops &

Notebooks

TPM

Authentication

相手状況把握、完遂確認： HW信頼基点証拠(ログ)保存(免責)：第三者検証可能

EmbeddedSystem

6/’11 新設

NetworkSecurity

5

http://www.trustedcomputinggroup.org/

http://www.trustedcomputinggroup.org/jp

TPM

IMC IMV

NAR PEP NAA

TNCC TNCS

IMC IMV

Password Policy

SettingsPatch Level

AntiVirusVersion

Definition File Date

QUARANTINE

REMEDIATIONAntivirusVersion

Definition File Date

Collector A Collector B Verifier BVerifier A

“Integrity Check of PC” sequence Solution in TNC* Action

(ご参考)TCGで出来ること：

・TPM・IMC・IMV・TNC・TNCC・TNCS

: Trusted Platform Module: Integrity Measurement Collector: Integrity Measurement Verifier: Trusted Network Connect: TNC Client: TNC Server

Copyright 2017 FUJITSU LIMITED6

TCGご紹介(続)

日本からの参加 IPA, NICT (リエゾン), Fujitsu (理事), Canon, Hitachi, Insight, Panasonic, Ricoh,

Toshiba, Toyota (一般), Hagiwara, Renesas (賛助) が加盟、他数社検討中

パソコン/サーバで約12年の実績 2004年から各社ノート/デスクトップPC、サーバにTCGが仕様策定したセキュリティ

チップ(TPM)を搭載、出荷中。2009年からはコピー/複合機/ATM/POS/スマホ等へも搭載。TPM出荷総数は数～10億個と推定。

自動車を含む組込み機器向け取り組みを2011年開始 2014年3月、TPMを自動車向けに最適化した仕様(TPM-Thin)の公開

レビュー開始、会員内外からのコメントに基づく修正を経て

2015年3月16日完結、発行！(後述)TCG TPM 2.0 Library Profile for Automotive-Thin

http://www.trustedcomputinggroup.org/resources/tcg_tpm_20_library_profile_for_automotivethin

2015年4月8日、上記仕様に基づくソリューション/デモを発表！

日経記事：トヨタグループがハッキング対策に本腰、富士通と「設計指針」http://techon.nikkeibp.co.jp/article/NEWS/20150409/413360/?ST=carnet&P=1

2016年11月04日、トヨタ連携でNHTSAパブコメ募集に、TCG理事会承認を

得て、投稿(後述)。7 Copyright 2017 FUJITSU LIMITED

本日の内容







「繋がるクルマ」は最近の流行語、自動運転等で現実化。同時にセキュリティの課題も顕在化、ハッカーのターゲット。

自動運転車/遠隔点検/リコール等セキュリティへの社会的要請増大

自動車への適用検討に当たっての考え方、課題、戦略現時点で、リコール総件数の約3割はソフトウェアのみに依拠したトラブル、その場合

でも現行制度では全車両回収が必須

上記割合は今後増加が見込まれ、回収不要/リモートメンテナンスで対応可能とする事での社会コスト低減、迅速対応への要請高まる

そのためには以下の三項目の解決が必須

•その時点での状態/状況を遠隔で把握(改造防止は不可能、故に検知が必須)

•最適なパッチ選択/セキュアな送付とインストール完遂の遠隔での確認

•証拠性を有する作業ログの作成/保存、第三者検証性、免責性を担保

上記実現には、PC/サーバで12年の実績を有するTCGを活用する事が得策、その上で制度改革/官庁を巻き込んだ法・ガイドライン整備、検討が必要、総務省外郭(NICT, TTC)、経産省外郭(AIST, IPA)、国交省外郭(NTSEL)等との協議にて、その端緒となる活動を模索中

欧州勢力(特にドイツ)に伍して行くためには、早急着手/戦略立案必須

主張：PC/サーバ12年の実績、TCGを自動車に

Accountability

TCGに基づく各機関/組織でのミッション、フロー(案)

2) 仮想空間にHead unit/車載サーバ/CAN/ECU群を構成

3) OTAアップデート前のTCGベース構成状態情報に基づいて正確/証拠保全でシミュレイト4) 更新用最適パッチ選択、送信7) 更新完遂確認、証拠保全

CAN/他

ECU群 ECU群

ネット

統合/OTAセンタ OEM/サプライヤ

Head unit/車載サーバ

1) OTA*アップデート前(現状)構成状態情報報告5) パッチ受領確認6) アップデート完遂報告/場合によってロールバック

0) 情報提供、業務委託・リコール発生時のリスク分散に旨味・上得意客に集中するケア/営業

準公的環境管理機関EMA: (Environment Managing Authority) ホワイトリスト(模範解答集)

実車

仮想


自動運転ダイナミックマップ配信、OTAリプロ共通Win(国)-Win(OEM、サプライヤ)-Win(ユーザ)-Win(OTAセンター) の構造の醸成が肝要*Over The Air

10


Vehicles are vulnerable to cyber attacks

Mitsubishi car alarm hackedBBC News, 6 June 2016, Technology http://www.bbc.com/news/technology-36444586

Researchers have found that the alarm on

Mitsubishi's Outlander hybrid car can be

turned off via security bugs in its on-board wi-fi.

Mitsubishi recommended that users turn off

the wi-fi while it investigates the issues

with the system.

RFC*s from National Highway Traffic Safety Admin. Automotive Electronic Control Systems Safety and Security

Due Dec. 08, 2014, https://www.regulations.gov/document?D=NHTSA-2014-0108-0001

Federal Automated Vehicles PolicyDue Nov. 22, 2016, https://www.regulations.gov/document?D=NHTSA-2016-0090-0001

ご参考：最近のニュース

*Request For Comments


募集元内容 TCG意見提出

DoT (米国運輸省)(2011/8)

Cyber security and Safety of Motor Vehicles Equipped with

Electronic Control Systems「サイバー化 (繋がる：コンピュータネットワーク化) された車に於ける安全安心の実現方法/方式を問う」

組込系WGを中心に意見書作成/提出、その後、DoTと意見交換実施

OMG (オブジェクト指向技術標準化団体) (2012/5)

Assuring Dependability of Consumer Devices: Automobiles,

Service Robots, Smart Houses, Avionics, etc-「自動車、自動機器、スマートハウス、航空機等の民生機器に於ける信頼性確保の実現方法/方式を問う」

組込系WGを中心に意見書作成/提出

DoE (米エネルギー省) (2012/7)

Cyber security for the electric delivery system「サイバー化された電力供給システムに於ける信頼性確保の実現方法/方式を問う」


NIST (米標準技術研) (2013/4)

Cybersecurity Framework for Critical Infrastructure

「サイバー化された重要な経済/社会基盤に於ける安全安心確保の枠組み/方式を問う」

TNC WGを中心に意見書作成/提出

FTC (米連邦取引委員会) (2013/5)

Seeks Input on Privacy and Security Implications of the

Internet of Things, Cars, appliances, and medical devices,..

「車を含むあらゆる機器が繋がる世界に於けるプライバー/セキュリティの在り方を問う」


NHTSA (米国運輸省道路交通安全局) (2014/12)

Automotive Electronic Control Systems Safety and Security

「自動車電子制御システムの安全性とセキュリティ」組込系WGを中心に意見書作成/提出

NHTSA (米国運輸省道路交通安全局) (2016/9)

Federal Automated Vehicles Policy

「自動運転自動車に於けるポリシーガイドライン」案への意見募集組込系WGを中心に意見書作成/提出

ご参考：各種機関の意見募集へのTCG対応実績ご参考：各種機関の意見募集へのTCG対応実績


NHTSA提案に向けての動き紹介

1) 国家道路交通安全局(NHTSA, 米運輸省配下)自動運転車ポリシー公開への意見公募に対し、TCG組込系WG配下の自動車サービスサブGの共同議長である、トヨタIT開発センターと当社とで意見案策定。それを基にTCGから提出するため、組込系WG/技術委員会/理事会各々で説明、修正、交渉し、承認を経て提出。NHTSA公式サイトで公開中。Comment from Trusted Computing Grouphttps://www.regulations.gov/document?D=NHTSA-2016-0090-0919

2) 意見締切後にNHTSAは、一年を掛けて意見を取り入れてポリシー改訂作業を行い、第二版を2017/9/12

に公開、発表。 2016/9/20公開、11/22締切で意見募集

3) 第二版に於いても、NHTSAは意見募集する見通し。それに対して、TCGとして意見集約し、再度、提出する予定。更に、第三版に向けた改版作業に積極的に関与したいと申し入れる予定。

https://www.regulations.gov/document?D=NHTSA-2016-0090-0919


補足) NHTSAへ提出した意見の概要

120頁の政府文書から選択した項目と、それらへのコメントポイント(TCGが有効で、これを使う事を検討すべき)

1) 16頁、ソフトウェア/ハードウェアアップデート:

⇒OTAソフトアップデートの注意点明確化、信頼基点要2) 17頁、データ保存と共有:

⇒プライバシ保証と透明性担保両立、そのためにTPMが重要3) 19頁、プライバシ:

⇒標準に則っての運用が必須4) 20頁、説明責任:

⇒これの明確化によって、利用者の懸念(プライバシ等)を軽減出来る5) 21頁、自動車のサイバーセキュリティ:

⇒これに対抗するために公開標準仕様のハードウェア信頼基点必須6) 27頁、運用設計定義:

⇒セイフティとセキュリティ両方を見据えた対応必要7) 31頁、検証方式:

⇒ TCGは、独立した第三者による検証を誰もが均一標準で行える事を採用する8) 45頁、責務と保険:

⇒公開標準は、データ/判断の正当性を確立する

これが、欧州方式(evita)に伍して行く(共存共栄)切り札である事を強調

© 2017 T rusted Comput ing Group 15

Comments from TCG to NHTSA(Page 21)

I. E. 4. Vehicle Cybersecurity

“Manufacturers and other entities should follow a robust product development

process based on a systems-engineering approach to minimize risks to safety,

including those due to cybersecurity threats and vulnerabilities.”

Comment:

To robustly implement cybersecurity, security critical parts of the HAV system

should be based on hardware roots of trust as specified in open technical

standards.

(Page 31)

I. F. 4. Validation Methods

“Testing may be performed by manufacturers and suppliers but could also be

performed by an independent third party.”

Comment:

TCG employs third party testing because it sets a level playing field for both

small and large manufacturers, ensuring a uniform standard.

Further, it increases confidence in the accuracy of the results.

ご参考：自動車向けTPM仕様書内説明図

流れの補足：自動車内に多数(50-100個)実装されているECU個々に最小化したTPM-Thinを付属させ、個々のECU状態を正確に把握、センターに通知。センターで検証し、最適箇所への最適パッチを選択、自動車側へ送付。自動車内元締めTPM –Richで署名検証後、個々のECUへ配布、インストール。完了後に再度、 TPM-Thinによる報告書作成、センター集約、証拠保全。


Accountability

ご参考：Auto-Thinに関連する講演、デモ展示

RSA Conference、SAE World Congress内でデモ展示 RSA会期中の2016/2/29に、TCG主催セミナー/デモ実施、その一つとして、

Automotive-Thinコンセプトに基づくデモを展示。

SAE会期中の2016/4/14に、同様に講演とデモを展示。

[参考図] デモ構成

CAN or other

Remote Maintenance Center

Vehicle CloudIn-Vehicle HMI on Tablet PC

ECU2: LED

Motor

TCG TPM Standardization:- Automotive Thin: Published- Automotive Rich: on goingTrustCube concept is built-in

Connecting Center, In-vehicle Server and ECUs, files downloaded from Center enable ”ECUs update” with TCG’s TPM authentication procedure.Connecting Center, In-vehicle Server and ECUs, files downloaded from

Center enable ”ECUs update” with TCG’s TPM authentication procedure.

ECU1: Actuator

3G LTEor other

Wi-Fi

Thin Thin

Rich

®

2016/2 RSA SF, 2016/4 SAE Detroit 17 Copyright 2017 FUJITSU LIMITED

ご参考：FIDO*に於けるTPM活用、自動車への応用


*FIDOアライアンス東京セミナーhttps://fidoalliance.org/wp-content/uploads/FIDOTokyoSeminar-gomi-112015-ja.pdf

例えば、OTAリプロ実施を「誰が」OKしたのかを、Accountability担保で保存する場合、FIDOは有効と考えられる。

本日の内容






TCG内、外での今後の予定、方向、戦略

自動車用TPM仕様、文書類策定整備 TCG自動車サブG、TTCコネクテッドカー専門委員会(後述)、リエゾンである

NICTとIPAが連携、発行済仕様/文書に加え、自動車リモメン実現に必要な他の仕様、文書、Protection Profile(PP)を2017年内を目途に策定

同時に東京オリンピック前の自動運転、リモメン実用化を目指して、ガイドライン策定/法整備を各国政府機関、国際組織に働き掛けて推進

欧州、特にドイツは独自仕様のevitaのキャンペーンを実施(欧州発のevitaが、

TPMより優れている(evitaはTPMを参考にし、自動車向けに特化したから))。ある意味、日本基幹産業の危機とも言える状況。これに理性的/論理的に対抗する戦略立案、実践、2017年内を目途に上記活動と連携して具体化

ＴＴＣコネクテッドカー専門委員会を中心としたオールＪａｐａｎ活動

TCG内自動車サブG、NICT内ITU-T、IPA内PP関連部署等の政府機関/国際組織活動と関係を密にし、活動促進、ジョブ分担、関係省庁活動調整、PP作成、ガイドライン/法案策定

⇒多くの日本企業・多くの国民への利益に繋がるものへ*

*IPA川浦理事から頂いたご指示20 Copyright 2017 FUJITSU LIMITED

(参考) 自動車行政関係機関リスト(小谷把握範囲)

21

Department of Transportation: 米国連邦運輸省

|- NHTSA: National Highway Traffic Safety Administration: 道路交通安全局

|- FHWA: Federal Highway Administration: 道路管理局

Department of Defense: 米国連邦国防省

|- NSA: National Security Agency: 国家安全保障局

Department of Commerce: 米国連邦商務省

|- NIST: National Institute of Standards and Technology: 標準技術研究所

|- NTIA: National Telecommunications and Information Administration: 電気通信情報局

Federal Communication Commission: 米国連邦通信委員会

内閣府(CAO)

|-内閣官房内閣サイバーセキュリティセンター(NISC)

総務省(MIC)

|- 情報通信研究機構(NICT)

|- 情報通信技術委員会(TTC)

経産省(METI)

|- 産業技術総合研究所(AIST)

|- 情報処理推進機構(IPA)

国交省(MLIT)

|- 交通安全環境研究所(NTSEL)


本日の内容






まとめの前の付言:24年前の状況から進歩したか？

The above cartoon by Peter Steiner has been reproduced from page 61 of July 5, 1993 issue of The New Yorker, (Vol.69 (LXIX) no. 20) only for academic discussion, evaluation,

research and complies with the copyright law of the United States as defined and stipulated under Title 17 U. S. Code.

1993年7月5日に米国の雑誌に掲載された漫画。「インターネット上では、あなたが犬だとは誰も知らない」


TPM

IMC IMV

NAR PEP NAA

TNCC TNCS

IMC IMV

QUARANTINE

Collector A Collector B Verifier BVerifier A

まとめ：今、そこに有る脅威：誰もが加害者に！

無辜なのに加害者＝DDoS**の踏み台・「踏み台」にさせられる仕掛けを取り外す際、チップが信頼基点として機能する・機器の環境を確実に把握できているからこそ、この作業がリモートで可能となる・DDoS攻撃防止は不可能、しかしこの作業を多くの機器に事前に施す事ができれば、DDoS実行時点で大部分の機器が解放済みで、攻撃実効性を低減できる

** Distributed Denial of Services：悪意者が多数の機器を乗っ取り、集中攻撃を仕掛けさせ、目標をダウンする日経記事「プリンターを踏み台として使用したDOS攻撃」2013/11/22 http://www.nikkei.com/article/DGXNASFK1302W_T11C13A1000000/?dg=1

被害者→容疑者*→加害者

* 日経記事「ネットなりすまし事件の怖さ、誰もが「容疑者」に」2012/11/17

ttp://www.nikkei.com/article/DGXZZO48415000U2A111C1000000/?dg=1



Trusted Computing 基盤：私の熱意

悪事の犠牲になることは悲惨である。

しかし、悪事の手先になること、これはもっと悲惨である。(小谷、2001年）

Dr. Seigo Kotani, Fujitsu labs. America presented at Third Annual US-Japan Critical Infrastructure Protection Forum, Nov. 27-29th, 2006 Washington DC;

“It is overwhelmingly more tragic to become an accomplice toan evil deed than it is to become a victim.”

Dr. Markus Durig, German Federal Ministry of the Interior, presented at Keynote speech of TCG annual members meeting, Oct. 9th, 2007 Los Angeles, California;

“Threats affecting information technology, New types of crime,

Victim as accomplice (e.g. through botnets)”

トラステッドコンピューティングを発展させ、信頼できるインフラとして世界規模で確立し、これを運用する事で、無辜の民が悪事の片棒を担がされる（DDoSの踏み台にされる）こと無く、安心してインターネット/繋がるクルマの利便性を享受できる、世界平和の実現を目指したい。

ユナイテッド93便の乗客の志 ”Let’s Roll!”アメリカン11便、ユナイテッド175便、アメリカン77便の全ての乗客の魂を受け継いで…


富士通株式会社Mobility IoT事業本部 Mobility フロントシステム事業部セキュリティ戦略担当、TCG常任理事小谷誠剛[email protected]

ありがとうございました。

mailto:[email protected]

Copyright 2016 FUJITSU LIMITED. Slide #2727

Date post:	13-Sep-2020
Category:	Documents
Upload:	others
View:	0 times
Download:	0 times

Fujitsu Standard Tool - trustedcomputinggroup.org€¦ · 弊社Mobility IoT...

Documents