Upstreamのサイバーセキュリティ・エンジン

[Transcript]

Upstream C4プラットフォームは、コネクテッドカー・サービスを守るために連携する4つのサイバ
ーセキュリティ・エンジンを採用しています。これら4つのエンジンはすべてデータ駆動型で、基盤
として機械学習を利用しています。

データはまず、プロトコル・サイバーセキュリティ・エンジンに入ります。プロトコル・エンジン
はステートレスです。つまり、システムに入ってくるすべてのメッセージを個別に検査します。プ
ロトコル・エンジンは、すべてのメッセージが仕様に準じていること、コネクテッドカー・サービ
スの通常の動作から逸脱している不正メッセージがないことを確認します。さらに、個別メッセー
ジのコンテンツに対してディープパケット・インスペクションを実施し、すべてのメッセージのフ
ィールド、変数、ペイロードが仕様に準じているかを確認します。プロトコル・エンジンはリアル
タイムで動作し、C4プラットフォームに流れてくるデータからリアルタイム・インシデントを生成
します。

プロトコル・エンジンに続いて、より長期的にわたってストリーム分析を用いたデータ解析をする
ステートフル・エンジンへ移行します。最初のステートフル・エンジンは、トランザクション・サ
イバーセキュリティ・エンジンです。Upstream C4プラットフォームでは、トランザクションとは特
定のアクションを行う際に組み合わされる複数のメッセージを意味します。トランザクションはテ
レマティクス・アプリケーションなど単一のデータソースもしくは、複数のデータソースの相関(
例えば、モバイルアプリケーションからテレマティクス・サービスまでのデータフロー)から生じ
ることがあります。例として、ユーザがモバイルアプリケーションを利用して、リモートでドアを
開錠するコマンドから始まるトランザクションを見ることができます。これにより、メッセージが
モバイルサーバへ、そこからテレマティクス・サーバへ流れ、そして自動車へ到達した後、ACK応答
がモバイルアプリに返されます。

この具体例では、ユーザから自動車まで、そして自動車からユーザまで流れる8~10個ほどの異なる
メッセージが生成されます。トランザクション・エンジンは、その一連の動作を「ドアの開錠」と
いう単一のトランザクションとして理解し、その後、常に同じ方法で行われているかを検証します
。なぜなら、ハッカーがトランザクションを乗っ取ったとき、トランザクションがモバイルアプリ
から発生するのではなく、テレマティクス・サーバからドア開錠コマンドを送信する単一メッセー
ジのみが見られるかもしれないです。トランザクション・エンジンはそのインシデントにフラグを
つけて、ワークフロー・ソリューションやSIEMソリューションに送信します。

次に動作するエンジンは、コンテキスト・エンジンです。コネクテッドカー・サービスの通常の動
作において、自動車は複数の状況(コンテキスト)や状態にまたがっていることがあります。通常
の状態は、自動車が停止中または走行中の状態です。コンテキスト・エンジンは、自動車が現在ど
のような状況にあるかを動的に学習し、その状態における有効なメッセージや有効なコマンドが何
かを判断します。例えば、自動車が時速50マイルで走行中であれば、「エンジン停止」コマンドを
受けとることはありません。

最後のステートフル・エンジンは、ふるまい検知エンジンです。ふるまい検知エンジンは、コネク
テッドカー・サービス全体を見わたし、サービスを構成する複数のモジュールの動作を解析します
。テレマティクス・アプリケーションとそのふるまい、特定の自動車、ドライバーをプロファイリ
ングして、コネクテッドカー・サービスの総合的なふるまいイメージを構成します。
テレマティクス・アプリケーションの場合、時間別のメッセージ頻度やメッセージの種類など複数
のパラメータを解析します。自動車の具体的なモデルをグループ化し、それぞれの自動車の固有の
行動を識別することができます。例えば、SUVとコンパクトカーを比較する場合、メッセージ
、ECU、TCUの全体的な行動を比較して、各種モデルに分類します。

最後のふるまい検知の要素として、ドライバーやフリートの動きを見て、フリート全体のポリシー
はもちろん、個々のドライバーの行動における例外的な行動を探し、リモートによるサイバー攻撃
を検出します。各エンジンは異なる手法を使用しています。各エンジンは連携して補完しあい、完
全な保護対策を生み出すことにより、リアルタイム及び非リアルタイムのインシデントを生成しま
す。

最後の構成要素は、Auto Threat Intelligenceと呼ぶものです。複数のOEMやフリートが同じコンポー
ネントを使用し、かつ同類の攻撃にさらされることになるため、顧客間でメタデータを共有できる
方が良いと考えました。Auto Threat Intelligenceは、複数の顧客やOEMをまとめて、セキュリティに
関する問題やセキュリティ違反のメタデータを共有する初めてのベンダー主導の取り組みです。結
果として、サードパーティーの情報源を取り込み、常に学習、改善し続ける包括的なセキュリティ
の枠組みを生み出すことができるセキュリティフレームワークです。

Newsletter Icon

Subscribe
to our newsletter

Stay up-to-date on the latest trends, emerging risks, and updates

Moving Minds: Giuseppe Serio hosts Hemanth Tadepalli

Moving Minds is a new series dedicated to the visionaries, experts, and builders shaping how we move. Guided by Giuseppe Serio, it brings forward the…

More Details

Supply Chain Cyber Risk Visibility for Automotive OEMs

As the automotive industry transitions into a software-defined, hyperconnected ecosystem, its attack surface expands exponentially across vehicles, suppliers, digital platforms, and infrastructure. Mo

More Details

Moving Minds: Giuseppe Serio hosts Augustin Friedel

Moving Minds is a new series dedicated to the visionaries, experts, and builders shaping how we move. Guided by Giuseppe Serio, it brings forward the…

More Details

Agentic AI in Automotive Cybersecurity – From Strategy to Secure Deployment

Are you truly AI Ready? The future of automotive cybersecurity isn’t just about applying AI to threats, it’s about securing the AI itself. This panel,…

More Details

From blueprint to reality: Disrupting after-sales vehicle quality with AI

See how Upstream transforms fragmented OEM data into early quality issue detection, prioritization, and faster investigations, which cuts time-to-insight and unlocks major savings. Based on…

More Details

Impact of PCI DSS on API Security For Mobility Products, Apps, and Services

The Payment Card Industry Data Security Standard (PCI DSS) is a global framework designed to protect payment card data across all environments that store, process,…

More Details