汽车信息系统：缘何成为攻击新目标？

个阶段实施连贯的安全对策。如果每次开发产品和服务时都从零开始制定安全对策，不仅会造成大量浪费，还有可能让组织的安全对策出现偏差。

　　在管理方面，尤为重要的是培养精通信息安全的人才、制定贯穿整个开发体制的基本规则、不断收集与"日新月异"的攻击方式相关的信息。

　　2．策划阶段

　　从进入实际的开发之前的策划阶段开始，就要结合安全对策，这一点非常重要。因为在策划阶段，经常要讨论汽车整个生命周期的预算。

　　在这一阶段，汽车的理念、配备的功能都将确定。此时，需要考虑各项功能的安全性的重要程度，为与重要程度相符的对策分配预算。而且，在选择车辆配备的功能，转交给开发方面的时候，一定不要忘记要包括安全要件。

　　3．开发阶段

　　在制造阶段，汽车企业及部件企业设计硬件和软件并安装到汽车上，是安全对策的最前线。

　　这一阶段必须要做的是"准确安装要件定义"、"安装时杜绝漏洞"、"万一存在漏洞，也要能在出货之前发现"。至于相关对策，还请参考本连载的前几篇文章。此外，如果预算充裕，还需购置漏洞评估设备等。

　　4．使用阶段

　　这是用户通过销售店等渠道买到汽车，实际使用的阶段。在车辆使用期间，位置信息、用户下载的软件、用户的操作记录和行驶记录等大量的信息将存储在车辆和数据中心之中。而且，像汽车共享、租车、公司用车这样，用户并非车主、用户会在短期内更替的情况也为数不少。

　　虽然安全对策要配合用户使用的场景来实施，但也要注意保护隐私。另外，如果在车辆售出后发现漏洞，还必须考虑构筑能将相关信息通知用户和车主、与销售店和维修厂等构建合作应对的体制。

　　5．废弃阶段

　　在用户因换购、故障等原因废弃汽车的阶段，往往容易忽视安全对策，因此在这一阶段尤其要注意。废弃的方式包括通过二手车销售店等渠道转让给其他用户、注销后报废等。不同的情况必须采取不同的对策。

　　用户的协助必不可少 在上面提到的贯穿整个生命周期的举措中，笔者觉得最为重要的是在使用阶段"向用户、汽车相关人员提供信息"。因为在开发阶段几乎不可能制造出毫无漏洞的系统。

　　汽车的生命周期很长。在用户开始使用之后，很可能会出现新的攻击方式和漏洞。创造在使用后给车辆安装安全补丁的机制可谓势在必行。

　　但是，安装安全补丁最好不要像一般信息系统的软件升级那样使用互联网。

　　作为针对可能遭到瞄准漏洞的攻击的用户确实采取的安全对策，可以在车检时实施升级，纯电动汽车则可以在充电时升级。例如使用嵌入式软件的电视机，就有通过电视信号升级的案例。

　　另外，废弃阶段的"制定废弃方针等"也容易被忽略，要特别注意。除了车主，汽车还经常由他人驾驶。用户转让二手车的情况也比较多。租车、汽车共享等多位用户同开一辆车的机制也十分普及。这就需要采取措施，防止车主的个人信息落入他人之手。

　　现在的车载导航仪系统可能保存着车主的住址，公司用车则可能保存着客户的信息，如果车载导航仪可以使用SNS（社交网络服务），还有可能保存着账号、密码等数据。

　　在信息系统的世界，废弃的硬盘泄露信息的例子很多。汽车上也已经出现了车载导航仪显示以前车主的信息之类的问题。

　　要想确保安全，除了企业采取措施之外，汽车用户的协助同样不可或缺。今后，企业对用户的安全启蒙活动估计会愈发重要。

　　不要为安全对策制定"标准答案"

　　最后，笔者想阐述一下自己对于汽车信息安全的看法。

　　首先，汽车相关企业的读者需要认识到，信息安全对策没有"标准答案"。因为随着使用环境、服务内容的不同，采取的对策也有很大不同，而且，一旦确定了"标准答案"，必然会出现专门找（制造）空子的恶意攻击者。而根据笔者的经验，空子一般都能找到。

　　汽车行业的开发流程极其注重安全性和可靠性，恐怕很难接受不制定"标准答案"的方针。因为这一方针与彻底排查出可能有损安全性和可靠性的因素并采取对策、然后将对策标准化、全公司共享的汽车开发流程格格不入。

　　另外，车载系统与网络、信息系统的联动今后还会加速发展。在汽车开始飞速互联之际，安全对策要实施到何种程度？对此，笔者还没有找到答案。

　　尽管如此，社会必然还是会要求车载系统采取安全对策。但世上没有"万能药"，公司内的各个组织必须在实施风险管理的同时，确定采取对策的范围。到那时，要想实现严格的风险管理，恐怕必须要采取全面的威胁及对策方针。届时，希望大家可以充分利用IPA公布的"汽车信息安全措施指南"。

不过，在实施对策时，笔者担心只有开发者在负责推动汽车安全