07/21/2020

実車を待たずにセキュリティテスト

XiL-based Security Testing

securityxiL_introduction_etas_format
セキュリティテスト仮想化・自動化の例

XiL-based Security Testingは、XiL (HiL/SiL/MiL) を活用したセキュリティテストの効率化・コスト削減のためのソリューションです。

CASEやモビリティサービス普及による機能の複雑化やサイバーセキュリティインシデントの重大化、それに準ずるWP29/ISO21434などの法規制に伴い、セキュリティテストの膨大化や自動車出荷後においても新たに発生する脆弱性への対応など、自動車メーカー様・部品メーカー様の負担は大きくなっています。

ETAS/ESCRYPTは従来より、車載組み込みシステムについて車両の仮想化やセキュリティテスト実施に関するコンサルティングやエンジニアリングをご提供してまいりましたが、

セキュリティテストに纏わる近年の動向に対して、お客様に幅広いユースケースでセキュリティテストの効率化・コスト削減を実現していただくために、ETASの持つ車両システム開発計測適合ツールの知見およびESCRYPTの持つサイバーセキュリティーの知見を活かし、車載セキュリティテスト環境の仮想化 (XiL化) と自動化をOne-Stop-Solutionでご提供していくことになりました。

以下は、XiLそれぞれを活用してセキュリティテストを行うことによるメリットです。

<HiL (Hardware-in-the-Loop)でセキュリティテストを実施するメリット>

HiLは、実車両の代わりにプラントモデルを使って実ECUの動作を実験実証するための構成であり、セキュリティテストを実施する場合には次のようなメリットが考えられます。

  • 実車では難しいECU・センサーの異常・改ざんなどのテストを実施できる
  • 実車では危険なテストでも安全に実施できる
  • 限られた台数である実車を占有せずに、数多くのテストを実施できる
  • 実車の完成前や、他ECUやネットワークが開発途上などでの場合にもテストを実施できる

ETASのHiLを既にご利用の場合、あるいは新規にご検討いただく場合には、ご要件に合わせHiL環境を含めて、セキュリティテストの利用をサポートいたします。
また、将来的にHiLの改良や拡張・ネットワーク化、HiLからSiLへの移行等サポートいたします。
ETASのHiLをご利用でない場合でも、セキュリティテスト環境の構築やテスト実施に必要なインタフェースのご提供についてサポートいたします。

<SiL (Software-in-the-Loop)でセキュリティテストを実施するメリット>

SiLは、実車両の代わりにプラントモデルを使って、実ECUを使わずに、実ECUのソースコードを仮想ECU上で動作させて実験実証するための構成であり、セキュリティテストを実施する場合には次のようなメリットが考えられます。

SiLについて、HiL同等の環境をソフトウェアのみで再現した環境として構築する場合には、ECUと同一のソースコードで構成されるVirtual ECU (vECU)が必要です。
ただし、SiLでは、HW機能や実時間に依存するようなテストは実施することができません。

この場合、HiLで対応するメリットに加えて、以下のようなメリットがあります。

  • 実ECUでのセキュリティテストでは準備が難しくなる設定(メモリなどへの書込み回数制限、カウンタ値、ワンタイム設定となる鍵値)などを気にせずに、テストを実施できる
  • 実ECUの利用できない場合、実ECUのHWが開発途上でもテストを実施できる
  • クラウドなどの空きリソースを利用して、テストを実施できる
  • 妥当な精度で実時間より短時間(例:実時間だと5時間がSiL/MiLだと1分)で完了するテストや、実時間より長時間かかるが実物無しでも現実に良く合う高精度なテストが実施できる。

vECUが、どれだけ忠実に実ECUの動作を模擬できているのか、が重要です。
vECUの内容を考慮し、フロントローディングで実施可能なセキュリティテスト項目の設定ができます。

また、部分的に企画・設計時のプロトタイプなどの一環で構築したソースコードなどでセキュリティ機能を構成するようなSiLを構築する場合もあります。その場合は、仮想的に構築した他ECUやネットワーク環境などと共に、機能実現を検証できるメリットが考えられます。

ETASでは、お手元にない制御やプラントモデルを補完する簡易車両モデルを含む全SiL構成要素への対応をサポートいたします。

例えば、

  • 簡易車両モデル:LABCAR-MODEL-VVTB
  • vECU: ISOLAR-A/B (OS: AUTOSAR), ISOLAR-EVE
  • 仮想ネットワーク: COSYM VNET (vCAN, vFlaxRay, vAutomotive Ethernet, vLIN)
  • vECUの計測適合対応: XCP4COSYM + INCA, EHANDBOOK

等があります。

<MiL (Model-in-the-Loop)でセキュリティテストを実施するメリット>

MiLは、実車両の代わりにプラントモデルを使って、実ECUを使わずに、実ECUのアルゴリズムをモデルとして動作させて実験実証するための構成であり、セキュリティテストを実施する場合には次のようなメリットが考えられます。

  • テスト対象となるシステム自体が存在しなくてもテストを実施できる
  • ECUのソースコードが無くても、ロジック検証を実施できる
  • モデルから生成された部分的なソースコードと組み合わせたSiL混在環境でのテストを実施できる
  • 妥当な精度で実時間より短時間(例:実時間だと5時間がSiL/MiLだと1分)で完了するテストや、実時間より長時間かかるが実物無しでも現実に良く合う高精度なテストが実施できる

ただし、MiLでは、SiLと同様にHW機能や実時間に依存するテストや、ソフトの実装に依存するようなテストは実施することができません。

ECUモデルが、どれだけ忠実に実ECUの動作を模擬できているのか、が重要です。
ECUモデルの内容を考慮し、フロントローディングで実行可能なセキュリティテスト項目の設定ができます。

実ECUに組み込まれる見込みの機能のモデル化(ECUモデル)が必要です。
ETASでは、お手元にない制御やプラントモデルを補完する簡易車両モデルを含む全MiL構成要素への対応をサポートいたします。

例えば、

  • 簡易車両モデル:LABCAR-MODEL-VVTB
  • 仮想ネットワーク: COSYM REST bus
  • モデルの計測適合: COSYM Tool-Coupling (Simulink model) + INCA-EIP + INCA, XCP4COSYM + INCA, EHANDBOOK
  • 独自モデル生成・改良: ASCMO/MOCA, SCODE WorkBench

等があります。

XiL (HIL/SiL/MiL)を活用したセキュリティテストについてのお問い合わせは、sales.jp@etas.com にお願いします。