なぜ自動車のサイバーセキュリティが不可欠なのかを人々に気付いてもらうには、ある程度の努力が必要です。自動車が部分的な自動運転に移行しつつある状況で、自動車OEM(完成車メーカー)にとって、サイバーセキュリティに関する懸念が高まっています。ドライバー(または、特定の限定された条件下でドライバーに代わる操縦システム)以外の誰も、車両を操作できないよう管理する必要があることは明らかです。

2021年、国連欧州経済委員会(UNECE)の作業部会は、こうした脅威の高まりに対処するために、自動車OEM向けサイバーセキュリティに関する規制である「UN-R155」を発表しました。この規制は、2022年7月以降、UNECE加盟国で生産される新型車両の型式承認に対して拘束力を持ちます。つまり、自動車のサプライヤはISO 21434に準拠し、サイバーセキュリティに関連するすべての部品がこの規格に適合していることを保証しなければなりません。もちろん、サイバーセキュリティに準拠した部品を調達しても、自動車OEMがUNECEの基準に従う保証はありません。しかし、その目標達成に向けて、より強力な位置を確保するために不可欠なステップなのです。この記事では、先進運転支援システム(ADAS)や車内監視アプリケーションで使用されるイメージセンサに関連するサイバーセキュリティについて考察します。

イメージセンサに安全性が求められる理由

ゲートウェイからインフォテインメントシステム、あるいはネットワークを介して接続されるその他の車両サブシステムまで、サイバーセキュリティを実装する必要がある自動車の場所はすぐに特定できます。

しかし、なぜサイバーセキュリティをイメージセンサにも適用すべきかは、あまり明確でないかもしれません。安全性と運転支援が重視される今日、イメージセンサは車両の「目」であり、車線逸脱警告、歩行者検知、自動緊急ブレーキ(AEB)など、いくつかのADAS機能に使用されています。イメージセンサは車の周囲を見極め、フュージョンシステムに意思決定のための情報を提供します。将来は、自動車ユーザーの識別と認証を支援し、バイタルサインの監視も支援するでしょう。これによって、ドライバーが運転不能になった場合に、車載コンピュータが制御を引き継ぐことが可能になります。このような状況において、車載用イメージセンサは、特に車両が遭遇し得る最も過酷な状況において、優れた性能(高いダイナミックレンジ、低照度能力、色調識別機能など)を発揮し、機能を維持する必要があります。

自動車は安全運転に関して、今後ますますイメージセンサに依存するようになるため、車両の中央コンピュータは正規の純正部品とのやり取りが必須になります。また、送信された画像フレームが不完全なものでなく、全フレームが純正イメージセンサで生成されていることも確認しなければなりません。最後に、イメージセンサは車両のシステムによる構成変更のみ受け入れ、他者による構成変更を受け入れてはなりません。以下の使用事例は、第三者のなりすましに対して脆弱な偽造イメージセンサを使用した場合の脅威について、自動車業界が無視できない理由を示しています。

脅威1:イメージセンサの偽造品への置き換え

AEB(Autonomous Emergency Braking、衝突被害軽減ブレーキ)システムは、フロントガラスの裏側にあるイメージセンサを利用して、車の前方にある物体や歩行者を検出します。衝突を防ぐためにドライバーが迅速に対応しない場合、ブレーキをかけるかどうかを判断できます。AEBシステムは、イメージセンサが特定の特性(例えば、高ダイナミックレンジ、低照度性能など)を備えており、システムがこれらの仕様に合わせて調整されているという前提で動作します。

オリジナルのイメージセンサが非純正部品や偽造部品に置き換わると、システムの性能が損なわれる可能性があります。置換品は、見た目はオリジナルと同じでも、性能や特性が大きく異なる恐れがあるのです。AEBシステムはオリジナルのイメージセンサに合わせて最適化されているため、置換品との特性の違いによってシステムの性能が変化します。つまり、車の前方の物体や歩行者を数メートル手前まで検知できず、システムが適切に反応する時間がなく、無残な結果を招く可能性があります。純正イメージセンサを偽造品と交換することは、視力の悪いドライバーが眼鏡なしで運転するようなものです。

  • 純正イメージセンサを偽造品と交換した場合の影響

    図1:純正イメージセンサを偽造品と交換した場合の影響

脅威2:イメージセンサの設定変更

車両システムは、イメージセンサが常に車両前方のシーンを最もリアルに表現した画像を返す最適な構成になるように調整され、プログラムされています。しかし、誰か(あるいは何か)がそのイメージセンサの構成を変更すると、性能が損なわれる可能性があります。その結果、車両システムが自動車の前方のシーンを正しく、全体的または最適に認識することを保証できなくなる恐れがあります。これは電子的には、人間のドライバーの目にホコリを投げつけるのと同じことです。

  • イメージセンサの設定を改ざんした場合の影響

    図2:イメージセンサの設定を改ざんした場合の影響

脅威3:イメージセンサのバイパス

イメージセンサはイメージプロセッサに生のビデオデータを供給し、ビデオデータから前方の障害物に関する重要な情報を抽出して、自動車が適切に対応できるようにします。例えば、イメージプロセッサは接近してくる車両を検知して、ブレーキを使用するか車を道路から遠ざけるか、どちらか安全な処置をとることができます。しかし、権限のない者がイメージセンサを改造またはバイパスして、システムを改ざんしようとすると、イメージプロセッサに実際のシーンを写した生のビデオデータが供給されなくなります。その場合、システムは接近してくる物体を検出できなくなる可能性があります。それどころか、画像処理エレメントは障害物のないクリアな道路のループ画像しか受信せず、人間のドライバが道路から完全に目を離したのと同じような、悲惨な結果を招く恐れがあります。

  • イメージセンサのバイパスによる影響

    図3:イメージセンサのバイパスによる影響

サイバーセキュリティに対応したイメージセンサ

オンセミでは、ISO 21434サイバーセキュリティ規格が発表される以前の2018年より自社のイメージセンサに、サイバーセキュリティ機能の実装を開始しました。当初、この実装は初期の顧客からの要望によるものでしたが、その後、サイバーセキュリティの専門技術に発展し、整理統合されました。結果として、オンセミのイメージセンサはすでにサイバーセキュリティ対応となっています。

重要な機能の1つは認証で、ホストに対して自分が本物であることを証明できます。これは必要な証明書チェーンと事前共有鍵を使用して提供されます。もう1つの重要な機能は、ビデオデータの完全性を保証できることであり、センサとシステムの間でビデオデータストリームが改ざんされていないことを証明します。完全性はメッセージ認証コード(MAC)を通じて提供されます。最後に、センサ制御および構成データは、埋め込みデータビデオライン上でMACを使用する特定のキーレジスタによって改ざんから保護されます。

サイバーセキュアな部品はサイバーセキュアな自動車への第一歩

車載用イメージセンサが、複雑な車載電子システムのトロイの木馬にならないようにするには、サイバーセキュリティへの対応が必須です。自動車OEMにとって、サイバーセキュリティコンプライアンスは、イメージセンサ内のサイバーセキュリティ制御回路だけではありません。ADASや車内監視システムが完全なサイバーセキュリティコンプライアンスを達成するには、サイバーセキュアなイメージセンサが不可欠です。

本記事はEmbedded Computing Designに掲載されたonsemiの寄稿記事「Understanding the Need for Cyber-Secure Image Sensors in ADAS and In-Cabin Monitoring Systems」を邦訳・改編したものとなります

著者プロフィール

Ludovic Rota
onsemi
Product Marketing Manager