Upstreamのサイバーセキュリティ・エンジン

[Transcript]

Upstream C4プラットフォームは、コネクテッドカー・サービスを守るために連携する4つのサイバ
ーセキュリティ・エンジンを採用しています。これら4つのエンジンはすべてデータ駆動型で、基盤
として機械学習を利用しています。

データはまず、プロトコル・サイバーセキュリティ・エンジンに入ります。プロトコル・エンジン
はステートレスです。つまり、システムに入ってくるすべてのメッセージを個別に検査します。プ
ロトコル・エンジンは、すべてのメッセージが仕様に準じていること、コネクテッドカー・サービ
スの通常の動作から逸脱している不正メッセージがないことを確認します。さらに、個別メッセー
ジのコンテンツに対してディープパケット・インスペクションを実施し、すべてのメッセージのフ
ィールド、変数、ペイロードが仕様に準じているかを確認します。プロトコル・エンジンはリアル
タイムで動作し、C4プラットフォームに流れてくるデータからリアルタイム・インシデントを生成
します。

プロトコル・エンジンに続いて、より長期的にわたってストリーム分析を用いたデータ解析をする
ステートフル・エンジンへ移行します。最初のステートフル・エンジンは、トランザクション・サ
イバーセキュリティ・エンジンです。Upstream C4プラットフォームでは、トランザクションとは特
定のアクションを行う際に組み合わされる複数のメッセージを意味します。トランザクションはテ
レマティクス・アプリケーションなど単一のデータソースもしくは、複数のデータソースの相関(
例えば、モバイルアプリケーションからテレマティクス・サービスまでのデータフロー)から生じ
ることがあります。例として、ユーザがモバイルアプリケーションを利用して、リモートでドアを
開錠するコマンドから始まるトランザクションを見ることができます。これにより、メッセージが
モバイルサーバへ、そこからテレマティクス・サーバへ流れ、そして自動車へ到達した後、ACK応答
がモバイルアプリに返されます。

この具体例では、ユーザから自動車まで、そして自動車からユーザまで流れる8~10個ほどの異なる
メッセージが生成されます。トランザクション・エンジンは、その一連の動作を「ドアの開錠」と
いう単一のトランザクションとして理解し、その後、常に同じ方法で行われているかを検証します
。なぜなら、ハッカーがトランザクションを乗っ取ったとき、トランザクションがモバイルアプリ
から発生するのではなく、テレマティクス・サーバからドア開錠コマンドを送信する単一メッセー
ジのみが見られるかもしれないです。トランザクション・エンジンはそのインシデントにフラグを
つけて、ワークフロー・ソリューションやSIEMソリューションに送信します。

次に動作するエンジンは、コンテキスト・エンジンです。コネクテッドカー・サービスの通常の動
作において、自動車は複数の状況(コンテキスト)や状態にまたがっていることがあります。通常
の状態は、自動車が停止中または走行中の状態です。コンテキスト・エンジンは、自動車が現在ど
のような状況にあるかを動的に学習し、その状態における有効なメッセージや有効なコマンドが何
かを判断します。例えば、自動車が時速50マイルで走行中であれば、「エンジン停止」コマンドを
受けとることはありません。

最後のステートフル・エンジンは、ふるまい検知エンジンです。ふるまい検知エンジンは、コネク
テッドカー・サービス全体を見わたし、サービスを構成する複数のモジュールの動作を解析します
。テレマティクス・アプリケーションとそのふるまい、特定の自動車、ドライバーをプロファイリ
ングして、コネクテッドカー・サービスの総合的なふるまいイメージを構成します。
テレマティクス・アプリケーションの場合、時間別のメッセージ頻度やメッセージの種類など複数
のパラメータを解析します。自動車の具体的なモデルをグループ化し、それぞれの自動車の固有の
行動を識別することができます。例えば、SUVとコンパクトカーを比較する場合、メッセージ
、ECU、TCUの全体的な行動を比較して、各種モデルに分類します。

最後のふるまい検知の要素として、ドライバーやフリートの動きを見て、フリート全体のポリシー
はもちろん、個々のドライバーの行動における例外的な行動を探し、リモートによるサイバー攻撃
を検出します。各エンジンは異なる手法を使用しています。各エンジンは連携して補完しあい、完
全な保護対策を生み出すことにより、リアルタイム及び非リアルタイムのインシデントを生成しま
す。

最後の構成要素は、Auto Threat Intelligenceと呼ぶものです。複数のOEMやフリートが同じコンポー
ネントを使用し、かつ同類の攻撃にさらされることになるため、顧客間でメタデータを共有できる
方が良いと考えました。Auto Threat Intelligenceは、複数の顧客やOEMをまとめて、セキュリティに
関する問題やセキュリティ違反のメタデータを共有する初めてのベンダー主導の取り組みです。結
果として、サードパーティーの情報源を取り込み、常に学習、改善し続ける包括的なセキュリティ
の枠組みを生み出すことができるセキュリティフレームワークです。

Newsletter Icon

Subscribe
to our newsletter

Sign up to receive updates delivered to your inbox

Fraud Management One Pager

Monitor and detect fraudulent activities targeted to bypass subscription fees, gain access to premium features, and manipulate vehicles for warranty-related gains

More Details

Watch: Contextual API security – Protecting vehicle fleet infrastructure and critical data

APIs are powerful innovation enablersand also prime targets for cybersecurity attacks. In this webinar, experts from AWS and Upstream explain why API discovery, monitoring, and…

More Details

Contextual API security – Protecting vehicle fleet infrastructure and critical data

APIs are powerful innovation enablers…and also prime targets for cybersecurity attacks. In this webinar, experts from AWS and Upstream explain why API discovery, monitoring, and detection must

More Details

API Security for Fleet Management Platforms

Upstream’s API Security Is Purpose-Built to Protect Business Operations, Applications and Services

More Details

API Security Product Sheet

Upstream’s API Security solution is uniquely designed to correlate between API traffic and the contextual impact they have on operational systems and assets.

More Details

Cybersecurity for Transportation

Transport Topics’ Dan Ronan hosted Upstream’s CEO Yoav Levy to discuss transportation security from a cyber aspect. Some key takeaways: In a world of connected vehicles, the cybersecurity risk

More Details