Pixels vs. Perils: Safeguarding Automotive Image Sensors in the Cybersecurity Race

自律走行への移行と無人運転車の安全性に対する社会的懸念のため、自動車メーカーにとって、サイバーセキュリティが最優先事項となっています。ドライバー、乗客、歩行者の安全を確保するために、車両システムの完全性および車両の制御部分を保護する必要があります。ネットワーク経由で接続された車両サブシステムなどの分野でサイバーセキュリティの必要性は明らかですが、先進運転支援システム(ADAS)やドライバー監視に使用されるイメージセンサについても同様に、極めて重要です。

イメージセンサは、車両の目の役割を果たし、車線逸脱警報、歩行者検知、緊急ブレーキなどのADAS機能を実現します。また、これらは、車両システムが周囲の状況を把握し、ドライバーの行動を監視するよう支援します。将来的には、イメージセンサが車のユーザの識別と認証も支援し、ユーザのバイタルサインを監視することで、ドライバーが行動不能に陥った場合は、車載コンピュータが車の制御を引き継ぐようになるでしょう。したがって、イメージセンサは、特に自動車が遭遇する可能性のある極端な状況でも、機能を維持する必要があります。

サイバーセキュリティの脅威

車載用イメージセンサについて考慮すべき主なサイバーセキュリティの脅威は、偽造、改ざん、バイパス、盗聴(特に車室内)の4つです。

車載用半導体業界での部品不足のために模倣品が増加しています。非純正部品の取り付けに悪意を持って取り付けられているわけではありませんが、システム性能を危険にさらす可能性があります。ADASシステムは、非純正部品を使用すると、起動シーケンス、プロトコル、ファームウェア、ソフトウェアが異なるため正常に動作しません。最悪のシナリオは、システムの安全性が損なわれ、性能が著しく低下した非純正部品が使用されます。

自動緊急ブレーキ(AEB)システムは、イメージセンサが特定の特性 (高ダイナミックレンジ、低照度性能) を備え、これらの仕様 (露出制御、1秒あたりのフレーム数(fps)) に合わせて調整されているという前提で動作します。偽造センサはオリジナル品と同じに見えても、性能や特性が大幅に異なる場合があります。例えば、偽造カメラが同じセンサを使用している可能性はありますが、最終アセンブリで性能仕様を満たしていることを確認するテストが実施されておらず、動作範囲の上限で故障のような症状が発生するおそれがあります。そのため、平均的な条件では動作するように見えても、暑くて晴れた日や寒い冬の夜など、他の条件では機能が低下したり、故障したりすることがあります。仮に模倣品が非常に高性能で、初期化や簡単なヘルスチェックは本物のセンサを模倣できても、ダイナミックレンジやフレームレートでの性能は大幅に低下するかもしれません。AEBシステムは純正部品で最適化されているため、偽造品による性能低下でシステム性能も変化し、悲惨な結果を招くおそれがあります。純正品なら、車の前方で物体や歩行者を検知できる距離が長く、反応するまでに数秒の余裕があるのに、模倣品の場合は数メートル以内に入らないと検知されず、衝突を回避するだけの時間がない可能性もあります(図1)。

図1：純正イメージセンサを模倣品に置き換えた場合の影響

また、イメージセンサの設定を改ざんすると、性能も低下する場合があります。車両のシステムは、特定の実装向けに設定およびテストされたマシンビジョンアルゴリズムに対して最適な画質が得られるように、イメージセンサを設定するようプログラムされています。しかし、誰か(あるいは何か) がその設定を変更すると性能が低下し、車両システムが車に面した風景を正しく認識できなくなる可能性があります(図2)。

図2：イメージセンサの設定を改ざんした場合の影響

イメージセンサを完全にバイパスすると車両は視覚を失い、潜在的な危険を検知できなくなるおそれがあります。イメージセンサは、イメージプロセッサに生のビデオデータを供給します。このデータは前方の障害物に関する重要な情報を抽出するのに使用され、車はそれに基づいて適切に反応できます。例えば、センサから生のビデオデータを受信するシステムは、接近してくる車両を検知して、ブレーキを使用するか、または車を操縦して危険を回避するか(いずれか安全な行動)を判断できます。イメージセンサをバイパスすると、システムは生のビデオデータを受信しなくなり、接近してくる車両をまったく検知できなくなるおそれがあります(図3)。

図3：イメージセンサのバイパスの影響

コンプライアンスの徹底

2021年、国連欧州経済委員会(UNECE)の作業部会は、自動車メーカーにサイバーセキュリティ管理システム(CSMS: Cybersecurity Management System)の導入を義務付けるサイバーセキュリティに関する法規UN-R155を発表しました。この法規は、サイバー攻撃の脅威に対処するために、2022年7月から施行されています。自動車サプライヤは、関連するすべてのコンポーネントがISO21434サイバーセキュリティ規格に準拠していることを保証する必要があります。ISO21434準拠部品を使用するだけではUNECEへの準拠には不十分ですが、準拠を達成するための重要な要素です。

オンセミ(onsemi)は2018年、サイバーセキュリティに対応するために、一部のADASイメージセンサにサイバーセキュリティ機能の実装を開始しました。そしてこれらのセンサは2024年までにサイバーセキュリティに準拠する予定です。認証機能により、オンセミのイメージセンサが本物であることをホストに証明できます。これは証明書チェーンまたは事前共有キーを使用して達成されます。ビデオデータの完全性を保証するために、メッセージ認証コード(すなわちMAC: Message Authentication Code)を使用して、センサとホスト間でビデオデータストリームが改ざんされていないことを証明します。最後に、センサ制御および構成データは、MACを使用した特定のキーレジスタの改ざんから保護されます。改ざんリスク低減プロトコルは、システムによって異なるため、改ざん検知の場合はシステムプロセッサが最終的な意思決定者になります。

要約すると、車載用イメージセンサが複雑な車載エレクトロニクスシステムのトロイの木馬になるのを防止するには、サイバーセキュリティコンプライアンスが重要です。自動車メーカーにとって、コンプライアンスにはイメージセンサ内のサイバーセキュリティ制御回路以上のものが要求されます。しかし、サイバーセキュリティで保護されたイメージセンサを搭載することは、ADASおよび車室内監視システムが完全なサイバーセキュリティコンプライアンスを達成するための基本的な要件です。

オンセミの車載用イメージセンサのサイバーセキュリティ機能の詳細については、こちらのウェビナーをご視聴ください。車載カメラシステムの設計において、オンセミがサイバーセキュリティおよび機能安全の導入をどのように支援できるかについて、さらに理解を深めることができます。