コネクテッドカー、サイバーセキュリティに関するNHTSA更新ガイダンス



国道交通安全局 (NHTSA) は、「人命を救い、負傷を防ぎ、車両関連の衝突を減らす」という正式なミッション目標を掲げていますが、ここ数年、自動車のコネクティビティに重点を置いています。 実際、この機関は最近、2016 年に作成された自動車のサイバーセキュリティに関するガイダンスを更新しました。

これはNHTSAの真の役割について疑問を投げかけていますが、明確に定義された指令を欠く新しい自動車技術がますます一般的になるにつれて、ほとんどの政府規制当局は力を発揮しています. その上、安全機関は少なくとも、サイバーセキュリティのガイダンス (現在は自主的) をハッキングの懸念に結びつけることに成功しました。これは、影響を受ける車の動作に影響を与え、それが路上での身体的危害にどのようにつながる可能性があるかということです.

「車両技術とコネクティビティが発展するにつれて、サイバーセキュリティはすべての自動車メーカー、開発者、オペレーターにとって最優先事項である必要があります」と NHTSA 長官のスティーブン クリフ氏は述べました。役員。 「NHTSA は、わが国の道路における車両の安全に取り組んでおり、これらの更新されたベスト プラクティスは、サイバーセキュリティのリスクからアメリカ人を保護するための重要なツールを業界に提供します。」

代理店によると、 2022 年のサイバーセキュリティのベスト プラクティス は、独自の既存の調査、業界の自主基準、および過去数年間の自動車のサイバーセキュリティ調査から得た教訓を活用しています。 の基礎ですが、 このガイダンスは、2016 年に導入された以前のドラフトに基づいています。、そしてトランプ政権の最後の数日間に発行されたパブリックコメントの要求。

以前のバージョンはもう少し詳細ですが、 2022年版 いくつかの項目を追加し、2016 年に運用を開始した自動車情報共有および分析センター (Vehicle ISAC) に、より多くの企業が参加することを望む NHTSA の願望をさらに強調しています。慣れていない場合、Auto ISAC は企業の「業界主導型」連合です。 (グローバルな自動車メーカー、サプライヤー、テクノロジー企業など) は、サイバー攻撃の軽減に役立つという前提で車両データを共有します。 批評家は、このグループが、コネクテッド カーに関する政府の規制努力を導くためのロビー活動にすぎないと非難しています。 しかし、支持者は、ハッキングの脅威の特定と防止に専念するグループを持つことが最終的に有益であると考えています.

いずれにせよ、ガイダンス レポートの両方のバージョンは、企業が「増大するサイバーセキュリティの課題に対処できる準備ができている文化」を確立することを要求しています。 これは、既存の脆弱性について接続されたシステムをテストするためにより多くの費用を費やすこと、企業間または政府間で潜在的な脆弱性をより適切に伝達すること (理想的には、Auto ISAC を介して)、および製品のサイバーセキュリティに直接責任を負う部門全体を監督する高レベルの企業役員を任命することを意味します。 「トップダウン」の経営重視。 2022年は単にこれらの要求を拡張し、企業は同様に「対応プロセスの有効性を定期的に評価するための指標を開発する」必要があると付け加えています.

後者のガイダンスでは、「US-CERT 連邦インシデント通知ガイドラインに従って、インシデントは CISA/米国コンピュータ緊急対応チーム (US-CERT) にも報告する必要がある」ことも示唆しています。 情報共有は、実際には両方のレポートの大部分を占めており、NHTSA は次のことに言及しています。 大統領令 13691 – 「業界固有の情報共有および分析組織の開発と形成を奨励し、民間企業、非営利組織、執行部門、機関、およびその他のエンティティに「サイバーセキュリティのリスクとインシデントに関連する情報を共有し、可能な限りリアルタイムに近い形でコラボレーションしてください。」

自動車に限定されませんが、EO 13691 は NHTSA にとって重要な問題であり、基本的に、国家安全保障上の懸念からすべての人に自動車 ISAC への参加を求める NHTSA の要求を支えています。 しかし、自動車メーカーの世界的な連合が、製品が世界中で販売されているときに、米国を特別に保護するためにわざわざわざわざ行く理由に誰も取り組んでいないようです.

NHTSA の 2022 年のサイバーセキュリティのベスト プラクティスの残りの部分では、サイバーセキュリティの問題が発生した場合に、何らかの報告システムと対応策を確立することをお勧めします。 今のところ、代理店は Auto ISAC を承認する以上、かなり非具体的です。 しかし、NHTSA がデータ侵害や潜在的なハッキングの脆弱性に関しては、業界の監査自体を好むように見えるとしても、結果として得られるプロセスが車両安全リコールの独自のプロトコルを模倣することを望んでいるようです。

アフターマーケット製品や、車両のファームウェアやソフトウェア コードへのアクセスを誰に許可するかについても、いくつかの文言が変更されました。 以前のバージョンでは、NHTSA は業界がアフターマーケット デバイスを検討し、デバイスが安全性とは何の関係もない場合でも、それらが「生命の安全にどのように影響するか」を検討することを提案しています。 新しいドラフトでは、代理店は「アフターマーケット/ユーザー所有デバイス」に言及し、アフターマーケット企業に同様にセキュリティリスクを考慮するよう求め、すべてのサードパーティデバイスを「認証し、適切な制限付きアクセスを提供する」ことを推奨しています.

これは、車両のデバッグ ポート、シリアル コンソール、または車両の Wi-Fi ネットワーク上の開いている IP ポートを介した一般的なアクセスの制限に関するセクションで拡張されました。 理想的には、NHTSA は、診断機能を最小限に抑えて開発者レベルのアクセスを制限し、メーカーが関連するハードウェアや最終的に変更された後の車両の動作をより適切に制御できるようにすることで、ECU にアクセスできるユーザーを軽減したいと考えています。 また、「開発者のデバッグ アクセスを目的としたコネクタ、トレース、またはピンを単に物理的に隠すことは、十分な保護形態と見なすべきではありません」とも述べています。

これは間違いなく、米国でようやく前進しつつある修理の権利運動を悩ませることになるだろう. しかしNHTSAは、不思議なことに、デジタル保護が「車両所有者によって承認された代替のサードパーティ修理サービスによるアクセスを過度に制限しない」ことを保証することにより、車両が引き続き使用可能であることを保証するという2016年のレポートの要求を保持しました。 ただし、適切なバランスを見つけるのは難しいことを示唆することで、言葉は和らぎます。

私の見解では、NHTSA はこれらのシステムがどのように規制されているかに気を取られすぎており、それらの存在そのものが不必要な安全上のリスクを表している可能性を完全に無視しています。 たとえば、私がバックアップ車両として持っている殺せない 2000 トヨタ カローラ VE は、ターンバイターン方式の経路案内を提供してくれなかったり、ポケットに手を伸ばさずにガソリン代を支払ったりすることができないかもしれません。 しかし、インターネットに接続できないため、個人情報の盗難、メーカーのデータ収集、または車両のハッキングにさらされることもありません. 政府がこの事実を故意に無視することは、目新しい問題ではありませんが。 私は何年もの間、立法者がこの問題に関する知識の欠如を繰り返し示しているのを見てきました。その結果、多くの場合、彼らは専門家 (多くの場合、業界のロビイスト) に任せ、現代のテクノロジーの最も基本的な側面に取り組むことができませんでした。

NHTSA は、平均的な上院議員よりもかなり詳しい情報を持っている可能性がありますが、コネクテッド カー技術は、誰にとっても追いつくのが難しい速度で進歩しています。 これは、レポートを読むと明らかになります。ほとんどの内容は、基本的に、顧客やサードパーティの修理工場をひどく傷つけることなく、業界が協力して自らを規制することを代理店に求めているからです。 しかし、コネクテッド テクノロジーが脆弱性を生み出したときに、製造業者に責任を負わせることにはあまり関心がないようです。

それは、最終的には連邦通信委員会 (FCC) の責任であると主張することができます。 しかし、自動車部門の規制に関しては、通信委員会はかなり無頓着です。 FCC は実際には、通信帯域のどの部分を決定することに関心を示しているにすぎませんが、運輸省 (DOT) と NHTSA は、2017 年にすべての新車で車両間および通信を法的要件にすることを実際に提案しました。これは、米国の規制当局が自動車のコネクティビティの問題について一般的にどのような立場を取っているかを示しています。

[Image: Virrage Images]

コメントする