Help Net Securityのインタビューで、Car Connectivity Consortium(CCC)会長のAlysia Johnsonが、CCCデジタルキーが単一ブランドの機能から、スマートフォン・自動車メーカー・サプライヤーをまたいで機能する標準規格へと成長した経緯を解説しています。
バージョン4での変更点、一つの新たな脅威よりも相互運用性とテストに注力した理由、NFCフォールバックアクセスの保護方法についても詳しく語っています。また、スマートフォンの紛失・盗難時に迅速に認証情報を失効させる仕組みと、車両の長いライフサイクルにわたってポスト量子暗号の需要に備えるクリプトアジリティの設計についても触れています。
デジタルカーキーの進化とセキュリティ前提の変化
デジタルカーキーはもともと、単一ブランドのスマートフォンと車両に紐づいた利便性機能として誕生しました。しかし現在の方向性は、機器・自動車メーカー・サプライヤーをまたいで使えるウォレット型認証情報です。1社のハードウェア内だけで機能すれば成立していたセキュリティ上の前提は、あらゆる環境で機能しなければならなくなると、どのように変わるのでしょうか?
最も大きな変化は、信頼がもはや暗黙のものではなくなったことです。
シングルベンダー環境では、OEMがデバイスから車両・支援インフラに至るまで技術スタック全体を管理しています。マルチベンダーエコシステムでは、標準化された認証、セキュアエレメントなどのセキュアハードウェアアンカー、相互運用可能なプロトコルを通じて信頼を確立しなければなりません。
これにより、セキュリティの考え方は「自社デバイスを信頼する」から、異種混在エコシステムにおける「認証済みのあらゆるデバイスを信頼する」へとシフトします。
CCCの観点から見ると、これはデジタル車両アクセスにおいて対処すべき最も重要な課題の一つです。セキュリティはもはやデバイスや車両の製造元に依存することはできず、エコシステム全体で一貫して検証可能でなければなりません。認証、相互運用性テスト、共通のセキュリティ要件がCCCデジタルキーフレームワークの基盤となっている理由はそこにあります。
バージョン4の開発を動かした脅威とスコープの選択
バージョン3では2021年に超広帯域(UWB)を標準に採用し、パッシブエントリーへのリレーアタックに対応しました。バージョン4のスコープを検討する際、v3で未解決のままだった攻撃カテゴリとして何が挙げられ、そのうちどれが開発スケジュールに最も影響したのでしょうか?
バージョン3は、リレーアタックに対処するためのUWBベースの距離計測の導入を通じ、すでに非常に高いセキュリティベースラインを確立していました。
バージョン4のスコープを検討した際、焦点は大きな未解決の攻撃クラスへの対処ではありませんでした。それよりも、より広範なデバイスと車両のエコシステム全体にわたる相互運用性・検証・一貫した動作の改善に重点が置かれていました。そのため、スケジュールを動かしたのは特定の新たな脅威ではなく、バージョン3で確立された高いセキュリティ基準を維持しながら、実際の展開環境における安全で予測可能な動作を確保することでした。
グローバル標準の現実として、セキュリティは暗号技術だけの問題ではありません。異なるデバイス、車両プラットフォーム、無線技術にわたって実装が一貫して動作することを確保することも不可欠です。バージョン4の開発の多くは、バージョン3で確立されたセキュリティ特性を維持しながら、検証・相互運用性レイヤーを強化することに費やされました。
NFCフォールバックを弱点にしないための設計
更新されたNFCテストケースも今回初めて実施されました。NFCは、バッテリーが切れていたり無線通信が使えない場合にドライバーが頼る手段です。このフォールバックが弱点になるリスクはないのでしょうか。また、簡単に突破される入口にならないようにするための対策はどのようなものでしょうか?
NFCはデジタルキーアーキテクチャの重要な要素です。バッテリーが切れている場合や他の無線通信が利用できない場合など、様々な実際のシナリオに対応する信頼性の高いアクセス手段を提供しています。ただし、「弱い入り口」ではありません。
NFCは非常に近い物理的な距離と明示的なユーザー操作を必要とするため、リモートアクセス技術と比較して攻撃対象領域を大幅に削減できます。
さらに、1回のNFCインタラクションで自動的に無制限の車両アクセスが許可されるわけではありません。OEMはユースケースに応じて、ユーザーインテントチェック、認証要件、アクセスポリシーを適用できます。
より広い観点では、フォールバックメカニズムはプライマリアクセス方法と同じセキュリティ要件を満たすべきというのが私たちのアプローチです。CCCがNFC、Bluetooth Low Energy、UWBの各実装にわたる相互運用性・認証テストを継続的に拡大している理由の一つはここにあります。ユーザーが車両にアクセスする方法に関わらず、セキュリティが維持されるようにするためです。
こうした取り組みにより、NFCはさまざまな運用条件下で確実なアクセス体験を提供しながら、より広いデジタルキーアーキテクチャと同じセキュリティ原則を維持しています。
紛失・盗難時の迅速な失効とリプレイ攻撃への対策
デジタルキーは、紛失・売却・侵害される可能性のあるスマートフォンに保存されています。防御側の観点から、チェーン全体でどれほど速やかに鍵を停止できるのか、そして失効した認証情報が後から車に対してリプレイ攻撃に使われないという保証はどのように提供されるのでしょうか?
CCCデジタルキーは、バックエンドの接続を通じてエコシステム全体での迅速な失効をサポートしています。スマートフォンまたは車両が再接続されると、失効情報が同期され、その認証情報は以降受け付けられなくなります。
重要な設計原則として、車両オーナーは発行・共有・停止・失効を含む認証情報のライフサイクル全体にわたってコントロールを保持します。デバイスがオフラインのままであっても、システムは単一のポイントに依存しません。車両側のコントロールが、失効ポリシーを支える追加の強制メカニズムを提供しています。
さらに、リレーアタックは暗号学的なチャレンジ-レスポンスメカニズムによって防止されており、以前に有効だった認証情報が後から単純にキャプチャされて再利用されることはありません。
オーナーコントロール、分散型の強制、暗号的な検証というこの組み合わせにより、デバイスが紛失・盗難・侵害された場合でも高い堅牢性が確保されます。
数十年の車両寿命を見据えたクリプトアジリティとポスト量子対応
車は15年以上走り続けるため、現在選択する暗号技術は複数世代のスマートフォンを超えて機能し続けなければなりません。v4におけるクリプトアジリティはどのように実装されており、認証情報とプロトコルの両方についてポスト量子移行の議論は進んでいるのでしょうか?
デジタルキーバージョン3および4は、今日の高保証アプリケーションに対して広く信頼され適切とされる、実績ある暗号メカニズムに依存しています。同時に、クリプトアジリティを重要な設計原則として採用しており、要件や脅威モデルの変化に応じて車両のライフタイムを通じてアルゴリズムとセキュリティメカニズムが進化できるようになっています。
車両のライフサイクルは数十年単位で測られるため、長期的なセキュリティ計画は自動車産業にとって特に重要です。アーキテクチャは、ユーザー体験や広範なエコシステムに根本的な変更を加えることなく、将来の進化をサポートするよう設計されています。
ポスト量子対応については、認証情報レベルおよびプロトコルレベルの両方において、メンバーエコシステム内で活発に議論されています。現在の焦点は今日の安全で展開可能なベースラインを維持することにありますが、標準化団体には長期的な移行パスを検討し、技術が成熟するにつれて将来の暗号移行を実用的かつ相互運用可能な形で導入できるようにする責任もあります。
