従来のVSOCプラットフォームが十分な保護を提供できない理由

By Ling Cheng (Senior Product Marketing Manager)

サイバーセキュリティの進化する分野では、規制の増加に伴い、自動車業界がクラウドベースの車両セキュリティ運用センター（VSOC）を設立する従来の方法を採用することが多くあります。この方法は、迅速な導入や手軽さが特長であり、変化の速い業界のニーズに応えるものとして好まれています。しかし、自動車のサイバーセキュリティの状況がクラウドの範囲を超えて車両内コンポーネントやインフラまで広がるにつれ、現在のクラウドベースVSOCに頼るだけでは、十分な保護を確保するには不足する恐れがあります。

実際の例を挙げて、VSOCやそのプラットフォームの見直し、そして本当に必要とされる保護レベルへの移行がなぜ必要なのかを探りましょう。

実例：従来のVSOCプラットフォームでは堅牢な保護を保証することができない

2020年に行われた実験的なケーススタディを詳しく見てみましょう。この事例では、リサーチャーたちが不正なコードの組み込みを成功させ、侵害された車載インフォテインメント（IVI）システムが勝手に不正なWi-Fiホットスポットに接続するようになりました。その結果、不正なCANメッセージを送り込み、認証なしで自動車に診断作業をさせることが可能となりました。

攻撃は以下の手順で展開されます（図1参照）：

1. Bluetoothを活用し、不正なコードを配布する
2. 不正なWi-Fiアクセスポイントに接続し、バックドアを設置する
3. フラッシュ操作によりファームウェアを変更する
4. 車載インフォテインメント（IVI）システムの制御を奪う
5. 不正なCANメッセージを送信する

図1：2020年の実証ケースでの攻撃チェーン

従来のVSOCプラットフォームは、ステップ1から5までの検出において限界があります（図2を参照）。これらのVSOCプラットフォームは、車両がこのシナリオで自己診断を開始するなどの疑わしい動作をする際にのみアラートを発します。そのため、異常が検出された時点で、攻撃の手順はほぼ完了しており、攻撃者が最終段階に達していることを示しており、対応する時間が非常に限られてしまいます。このシナリオは、クラウドベースのVSOCプラットフォームのみに頼ることの制限を浮き彫りにしています。

図2：従来のVSOCプラットフォームの可視性。ステップ1から5までが見えない

従来のVSOCプラットフォームの限界

現在のVSOCプラットフォームには、サイバー攻撃を検出する上でいくつかの大きな限界があります。それらを要約すると以下の通りとなります。

• ノイズが多すぎて効果的に機能しない。AIを駆使した検出に頼る現在のVSOCプラットフォームは、あらゆる疑わしい異常に対してアラートを出し、結果としてアラート疲れを引き起こします。これにより、遅れがちで関係のない通知にチームが圧倒されてしまいます。実際、IT業界では、ITおよびSOCチームの55%が、これらのアラートに優先順位をつけて対応する自信がないと認めています。自動車業界でも似たような状況が起こり得ます。
• 対応が遅れがちとなる。一般的なログ収集を使う現在のVSOCプラットフォームは、実用的でないセキュリティログを生成し、実行可能な情報が不足しています。これはリスクの修復を遅らせ、攻撃の起源に関する詳細がないため、手動での調査が必要になります。実際の例で見ると、ステップ1から5の概要が把握できないために、VSOCチームが脅威に先手を打って対処することが難しく、迅速な予防が困難になります。
• 脅威の追跡が難しい。攻撃経路が比較的新しい場合、不正活動の明白な兆候はすぐには現れず、「疑わしい異常」として残り、新しい攻撃経路として認識されるまでそのままとなります。現在のVSOCプラットフォームは、インシデントを具体的な戦術や技術に分解することに苦労しており、攻撃者の目的や方法を明確に理解することが難しく、必要な修復措置を実施することが一層困難になります。

攻撃経路の全貌を可視化

では、どうすれば上記の課題に取り組むことができるでしょうか。その解決策は、コンテキスト分析に基づいた攻撃経路の理解にあります。攻撃経路とは、攻撃者（例えばハッカー）が車両システム、車両ネットワーク、機密情報に不正アクセスするために辿る一連のステップや方法を指します。VSOCチームにとって、攻撃経路を把握し、分析することは、脆弱性を見つけ出し、効果的なセキュリティ対策を講じる上で不可欠です（図3を参照）。

図3：コンテスト分析が施された攻撃経路から全体像を確認する

コンテキスト分析された攻撃経路で対応する次世代VSOCプラットフォーム

VicOneのxNexusは、次世代のVSOCプラットフォームであり、車載VSOCセンサーと統合されています。これにより、まだ広く知られていない新たな脅威経路をいち早く特定できるようになり、医療に例えると発生源となった「患者ゼロ」を探し出すかのような積極的な対策が可能といえます。車載VSOCセンサーを通じて、この次世代プラットフォームは新たに脅威経路を追跡し、関連するコンテキストに即した知見を提供します。この方法により、VSOCチームは攻撃の出発点を正確に追跡し、影響を受けるエリアを特定し、最終的な目標を見極めることが可能になります。この明確な理解によって、VSOCチームは積極的な対策を自信を持って施し、リスクの修復可能性を大きく広げることができます。

VicOneの次世代VSOCプラットフォームは、現在のVSOCプラットフォームがAIによる検出に頼り、単にパターンマッチングを行うだけのものとは一線を画します（図4参照）。大規模言語モデル（LLM）とコンテキスト分析に基づいた自動車関連のスレットインテリジェンスを組み合わせることで、xNexusは疑わしい異常ではなく、不正な攻撃を正しく検出することができます。これらの相乗効果により、説明しがたい誤検知を追う負担が減少し、VSOCの分析担当者は、そのスレットインテリジェンスを既存のビジネスプロセスに統合し、適切に対応することが可能になります。

図4. xNexus次世代VSOCプラットフォームの仕組み

深い知見と不安軽減を確認できるxNexus次世代VSOCプラットフォームのデモは、こちらからリクエストいただけます。