今、世界では自動運転車の実用化と普及のため、自動運転技術の国際基準・標準化に向けた動きが活発化しています。日本でも、今年4月1日から自動運転レベル3(条件付き運転自動化)が実質的に解禁されています。そんな中、国土交通省は2020年6月30日に、国連WP29(自動車基準調和世界フォーラム)において、「自動運行装置」などの基準化に向けた専門家会議により自動運行装置(レベル3)に係る国際基準が初めて成立したと発表しました。自動運行装置(レベル3)において義務付けられる要件の他、サイバーセキュリティ及びソフトウェアアップデートの国際基準の主な要件についても国際基準が成立させられています。
今回はその国連WP29で制定された、自動運転装置についての国際基準とセキュリティについて解説していきます。
グローバル化する自動運転車の開発とセキュリティの背景
自動運転車の開発が世界的にで加速されている中、自動車技術が高度化したことで、無線通信(OTA:Over-The-Air)によるソフトウェアのアップデートが可能となりました。OTAは、無線通信を経由してデータを送受信することを指し、ソフトウェアの更新などを行う際にこのOTA技術が広く利用されています。自動車に搭載しているECUのソフトウェアの更新というと、従来はディーラーに連絡して、自分で自動車を持ち込んで、更新してもらうという流れでした。しかしOTAソフトウェア更新技術を使うと、ソフトウェアの更新データが自動車に無線で配信されるため、ユーザーはディーラーへ行かなくても、自宅などでソフトウェアを更新できるようになります。
近年の自動車はコンピューター制御によるシステムが多様化しており、その各部にさまざまなソフトウェアが組み込まれています。米EV大手のテスラはすでにOTAを導入しており、同社の安全運転支援機能「オートパイロット」の更新は、無線によるソフトウェアのアップデートによって行われています。しかしこれまでは、ソフトウェアアップデートの適用および認証に関する業界共通の法規制が存在していませんでした。そのため、安全の整備が急務となっていました。
ソフトウェアアップデートはコネクテッド・サイバー・セキュリティ戦略の根幹的な構成要素です。自動車が実際にサイバー攻撃を受けたときに、そのサイバー攻撃に対してなるべく早く対処するという技術が重要になります。海外のセキュリティカンファレンス(Black Hat USA 2015)では、不正アクセスによりエアコンやワイパーなどを遠隔操作(ハッキング)した事例が紹介されました。これを受け、米国ではハッキングの対象となった車両約140万台がリコールされています。
安全な自動運転車の維持にはサイバーセキュリティ対策と適切なソフトウェアアップデートが重要であり、世界的な課題にもなっていました。日本では2019年5月に「道路運送車両法」の一部を改正する法律が成立・公布され、2020年4月から施行されました。これによって、国が定める保安基準の対象装置に「自動運行装置」が追加されています。これまでの道路運送車両法は、自動運転を想定したものとはなっていませんでしたが、同法律によって想定されるようになりました。日本は世界に先駆けて自動運転に関する法律を整備しており、今回のWP29においても各種草案作りを担う同分科会傘下のサイバーセキュリティ専門家会議において、日本は英国と共同で議長を務めてきました。
自動運行装置(レベル3)に係る国際基準とは
自動運転車は各レベルに応じた定義がなされています。
- レベル0(運転自動化なし):運転者が全ての運転操作を実施する
- レベル1(運転支援):システムが前後・左右いずれかの車両制御に係る運転操作の一部を行う
- レベル2(部分運転自動化):システムが前後・左右両方の車両制御に係る運転操作の一部を行う
- レベル3(条件付運転自動化):限定された条件のもとでシステムが全ての運転タスクを実施するが、緊急時などシステムからの要請があれば運転者が操作を行う必要がある
- レベル4(高度運転自動化):限定された条件のもとでシステムが全ての運転タスクを実施するが、システムからの要請などに対する応答が不要となる
- レベル5(完全運転自動化):限定条件なしにシステムが全ての運転タスクを実施する
自動運転レベル2までの運転主体はあくまで運転者であり、システムは安全運転を支援する装置という位置付けです。自動運転レベル3になると運転者とシステムが混在して対応することになり、自動運転レベル4からはシステムが運転主体となります。今回は自動運行装置(レベル3)において、以下のような要件を義務付けました。
- 少なくとも注意深く有能な運転者と同等以上のレベルの、事故回避性能
- 運転操作引継ぎ警報を発した場合、運転者に引き継がれるまでの間は制御を継続。運転者に引き継がれない場合はリスク最小化制御を作動させ、車両を停止
- ドライバーモニタリングシステムの搭載。システムの作動状態記録装置の搭載
- サイバーセキュリティ対策
- シミュレーション試験、テストコース試験、公道試験及び書面審査を適切に組み合わせた適合性の確認
セキュリティ及びソフトウェアアップデートの国際基準の概要
これまでの状況
- 2019年6月、国連WP29(自動車基準調和世界フォーラム)において、自動運転のフレームワークドキュメント(自動運転車の国際的なガイドラインと基準策定スケジュール等)に合意。
- 日本は、WP29傘下の専門家会議等において共同議長等の役職を担い、官民オールジャパン体制で議論をリード。
- 2020年6月に開催されたWP29本会議において成立。
今回定義された要件
- サイバーセキュリティ及びソフトウェアアップデートの適切さを担保するための業務管理システムを確保すること。
- サイバーセキュリティに関して、車両のリスクアセスメント(リスクの特定・分析・評価)及びリスクへの適切な対処・管理を行うとともに、セキュリティ対策の有効性を検証するための適切かつ十分な試験を実施すること。
- 危険・無効なソフトウェアアップデートの防止や、ソフトウェアアップデート可能であることの事前確認等、ソフトウェアアップデートの適切な実施を確保すること。
自動車メーカーはサイバーセキュリティ及び、ソフトウェアアップデートを管理する体制を確保します。また、リスクアセスメント及びリスクへの対処・管理を実施し、セキュリティ対策を検証するための試験を実施します。メーカーからのソフトウェアアップデートも適切に実施しなければいけません、そして自動運転車の通信手段に対しても、サイバー攻撃への対策を適切に実施する必要があります。
セキュリティリスクとメーカーの責任
身近な技術となりつつある自動運転ですが、自動運転の事故の責任は誰が負うのかという問題があります。例えば組み込まれたソフトウェアの不具合が原因で自動運転車による事故が発生した場合の他にも、セキュリティの不具合でハッキングされた場合等も想定されます。ソフトウェアに関する責任の所在に関しては、製造物責任法の現行法の解釈に基づきます。自動運転車の車両としての欠陥と評価される限り、自動車製造業者は製造物責任を負うほか、ソフトウェア関発者が別途不法行為責任を追及される可能性があるとされています。ハッキングにより引き起こされた事故の損害に関しては、自動車の保有者が運行供用者責任を負わない場合は政府保障事業で対応することが妥当とし、また、自動車の保有者らが必要なセキュリティ上の対策を講じておらず保守点検義務違反が認められる場合においては、この限りではないとされています。
自動車製造業者はネットワーク全体を守る必要がある
いずれにしろ、自動車製造業者は国連WP29で定義されたように、セキュリティを含む各種責任義務を負うことになります。自動運転車をはじめ通信機能を搭載した自動車は、外部からのサイバー攻撃のリスクを常に考慮する必要があります。それに加え、自社の工場のセキュリティリスクにも気を使うべきでしょう。
これまで製造工場では独自のネットワーク制御系システムが使われてきましたが、実際にマルウェア等によるセキュリティ被害が生じていました。また近年のIoT化によって様々な機器が製造工場のネットワークに接続されています。マルウェアによるセキュリティリスクはかなりの危険度を増しているのが実情です。 車両がネットワークに接続されたことで通信の暗号化の利用も広がっています。そのため、暗号鍵を内部に保管するECU(Electronic Control Unit)も増えてきています。暗号カギは製造工場で厳重管理、漏えいしないようにしなければいけません。
これまではネットワークセキュリティに無頓着だった製造工場でも、これからは自動車や工場を含むネットワーク全体がセキュリティリスクにさらされる恐れがあるため、攻撃を回避するためのセキュリティ構築が不可欠となっています。