Upstreamのサイバーセキュリティ・エンジン

 

[Transcript]

 

Upstream C4プラットフォームは、コネクテッドカー・サービスを守るために連携する4つのサイバ
ーセキュリティ・エンジンを採用しています。これら4つのエンジンはすべてデータ駆動型で、基盤
として機械学習を利用しています。

 

データはまず、プロトコル・サイバーセキュリティ・エンジンに入ります。プロトコル・エンジン
はステートレスです。つまり、システムに入ってくるすべてのメッセージを個別に検査します。プ
ロトコル・エンジンは、すべてのメッセージが仕様に準じていること、コネクテッドカー・サービ
スの通常の動作から逸脱している不正メッセージがないことを確認します。さらに、個別メッセー
ジのコンテンツに対してディープパケット・インスペクションを実施し、すべてのメッセージのフ
ィールド、変数、ペイロードが仕様に準じているかを確認します。プロトコル・エンジンはリアル
タイムで動作し、C4プラットフォームに流れてくるデータからリアルタイム・インシデントを生成
します。

 

プロトコル・エンジンに続いて、より長期的にわたってストリーム分析を用いたデータ解析をする
ステートフル・エンジンへ移行します。最初のステートフル・エンジンは、トランザクション・サ
イバーセキュリティ・エンジンです。Upstream C4プラットフォームでは、トランザクションとは特
定のアクションを行う際に組み合わされる複数のメッセージを意味します。トランザクションはテ
レマティクス・アプリケーションなど単一のデータソースもしくは、複数のデータソースの相関(
例えば、モバイルアプリケーションからテレマティクス・サービスまでのデータフロー)から生じ
ることがあります。例として、ユーザがモバイルアプリケーションを利用して、リモートでドアを
開錠するコマンドから始まるトランザクションを見ることができます。これにより、メッセージが
モバイルサーバへ、そこからテレマティクス・サーバへ流れ、そして自動車へ到達した後、ACK応答
がモバイルアプリに返されます。

 

この具体例では、ユーザから自動車まで、そして自動車からユーザまで流れる8~10個ほどの異なる
メッセージが生成されます。トランザクション・エンジンは、その一連の動作を「ドアの開錠」と
いう単一のトランザクションとして理解し、その後、常に同じ方法で行われているかを検証します
。なぜなら、ハッカーがトランザクションを乗っ取ったとき、トランザクションがモバイルアプリ
から発生するのではなく、テレマティクス・サーバからドア開錠コマンドを送信する単一メッセー
ジのみが見られるかもしれないです。トランザクション・エンジンはそのインシデントにフラグを
つけて、ワークフロー・ソリューションやSIEMソリューションに送信します。

 

次に動作するエンジンは、コンテキスト・エンジンです。コネクテッドカー・サービスの通常の動
作において、自動車は複数の状況(コンテキスト)や状態にまたがっていることがあります。通常
の状態は、自動車が停止中または走行中の状態です。コンテキスト・エンジンは、自動車が現在ど
のような状況にあるかを動的に学習し、その状態における有効なメッセージや有効なコマンドが何
かを判断します。例えば、自動車が時速50マイルで走行中であれば、「エンジン停止」コマンドを
受けとることはありません。

 

最後のステートフル・エンジンは、ふるまい検知エンジンです。ふるまい検知エンジンは、コネク
テッドカー・サービス全体を見わたし、サービスを構成する複数のモジュールの動作を解析します
。テレマティクス・アプリケーションとそのふるまい、特定の自動車、ドライバーをプロファイリ
ングして、コネクテッドカー・サービスの総合的なふるまいイメージを構成します。
テレマティクス・アプリケーションの場合、時間別のメッセージ頻度やメッセージの種類など複数
のパラメータを解析します。自動車の具体的なモデルをグループ化し、それぞれの自動車の固有の
行動を識別することができます。例えば、SUVとコンパクトカーを比較する場合、メッセージ
、ECU、TCUの全体的な行動を比較して、各種モデルに分類します。

 

最後のふるまい検知の要素として、ドライバーやフリートの動きを見て、フリート全体のポリシー
はもちろん、個々のドライバーの行動における例外的な行動を探し、リモートによるサイバー攻撃
を検出します。各エンジンは異なる手法を使用しています。各エンジンは連携して補完しあい、完
全な保護対策を生み出すことにより、リアルタイム及び非リアルタイムのインシデントを生成しま
す。

 

最後の構成要素は、Auto Threat Intelligenceと呼ぶものです。複数のOEMやフリートが同じコンポー
ネントを使用し、かつ同類の攻撃にさらされることになるため、顧客間でメタデータを共有できる
方が良いと考えました。Auto Threat Intelligenceは、複数の顧客やOEMをまとめて、セキュリティに
関する問題やセキュリティ違反のメタデータを共有する初めてのベンダー主導の取り組みです。結
果として、サードパーティーの情報源を取り込み、常に学習、改善し続ける包括的なセキュリティ
の枠組みを生み出すことができるセキュリティフレームワークです。