近年來，包括導入各式各樣的軟件在內，信息技術在汽車上的運用越來越廣泛。有些汽車配備的電子控制單元（ECU：Electronic Control Unit）甚至多達100個以上，程序代碼據說多達約1000萬行，汽車已經變成了配備大量軟件的系統。

　　變成軟件集合體的汽車，如今正面臨著新的威脅（圖1）。2010年，美國的研究人員發現，經由汽車內外的通信渠道可以攻擊車載軟件的漏洞，從而影響車輛的控制系統。這表明，雖然注重實時性的車載系統與信息系統存在不同，但在認證、通信保密等方面，車載軟件存在信息安全上的弱點。

　　而且，今后車載軟件系統受到攻擊的可能性還會上升。這是因為攻擊的途徑正在增加。車輛外部接口的種類越來越多，除了故障診斷功能“OBD-II”和充電控制接口之外，還包括與智能手機、平板電腦聯動的功能等。

　　圖1：與汽車相關的系統和威脅

　　本文將對汽車為何需要信息安全、日本信息處理推進機構（IPA）開展的汽車威脅與對策分析、信息安全強化措施等進行介紹。

　　汽車為何需要信息安全？

　　在汽車上采用控制軟件等信息技術并不是新鮮事。早在1980年，就曾在ECU中嵌入了擁有大約2000行代碼的軟件。那么，為什么時至今日，汽車開始需要信息安全了呢？

　　這并不僅僅是因為開篇提到的軟件規模擴大了數千倍而已，還與汽車技術的三大趨勢有關。

　　第一個趨勢是，以智能手機為中心，汽車與互聯網聯動越來越普遍。智能手機與傳統手機的一大差異在于客戶可以開發應用，比較自由地向任何人提供。從簡單應用到實用類型，市面上流通的應用種類繁多。面向汽車的應用也已經出現。

　　問題是，在這些應用中，有一些應用的可靠性很差。黑客有可能通過其中的漏洞，以智能手機為跳板，給車載設備和車載導航儀系統造成損害，或是經由智能手機泄露車內信息，侵犯駕駛員的隱私。而且，使用智能手機意味著汽車隨時都與外部網絡連接。因此，經由外部網絡和智能手機，能夠對正在行駛的汽車發起攻擊。

　　除了智能手機之外，ETC（自動收費系統）、智能車鑰匙等通過無線與外部連接的功能，以及純電動汽車（EV）經由充電插頭連接車載網絡的功能也在逐漸普及。

　　今后，隨著汽車開始隨時隨地接入車外網絡，夸張點說，攻擊者無需靠近汽車，就可以跨越網絡攻擊全世界的汽車。即使不是隨時隨地接入網絡，用戶誤下載的智能手機惡意以應用也有可能危害到汽車。

　　車載設備廣泛采用通用系統

　　第二個趨勢是車載軟件、車載LAN對于汽車的“行駛、轉彎、停車”等基本控制功能的影響正在增大。例如汽車廠商使用通信或信息終端來提供門鎖控制、調整發動機功率、更新軟件等服務。這些功能一旦被黑客成功入侵，很容易產生重大危害。

　　而且，為了在降低成本的同時確保通用性，部分車載系統開始使用Linux之類的通用操作系統。汽車用戶使用起各項服務來越來越方便，但解析與攻擊操作系統的難度也隨之越來越低。

　　不只是操作系統，車載LAN的通用性也在提高。比如德國政府援助的項目“SEIS（Security Embedded IP-based System）”，該項目正在考慮讓車載LAN采用“以太網”，并使用標準通信協議“TCP/IP”。2008年，寶馬采用以太網作為車載診斷接口之一，用來改寫軟件。

　　過去，以“CAN（控制器區域網絡）”為代表，車載LAN的通信方式雖然在電路層級實現了標準化，但請求指令、響應機制等具體內容大多是因企業而異的，構成了實際運用中的“障礙”。但從信息安全的角度來看，這樣的“障礙”其實是一道“防火墻”。

　　然而現如今，市面上已經出現了使用近距離無線通信“藍牙”、WLAN等網絡提供車載LAN通信內容的適配器。隨著越來越多的車載LAN采用互聯網標準，車內外的眾多設備和信息系統都將與汽車緊密連接。連接車載LAN越來越簡單，突破“防火墻”也就變得輕而易舉。

　　時不我待的狀況

　　第三個趨勢是，隨著EV、ITS（高速公路交通系統）技術的采用，汽車與外部交換車輛信息的必要性日益增加。EV要使用信息處理技術管理大容量的蓄電池，其作用是管理極其昂貴的電池的充電狀態、充放電次數等。

　　具體事例之一是不在EV內部保存充電情況，而是把它記錄存儲到網絡服務器的系統。該系統收集電池的充放電次數和充電量等數據，存儲到服務器上。通信使用PHS和3G/4G手機等。除此之外，美國也在研究如何使用EV的充電狀態管理信息，實現汽車共享等服務。

　　另外，與汽油車相比，EV具備電力更加充沛的環境，處理信息的車載系統發揮作用的空間會更大。

　　通過利用ITS技術，充分發揮車輛信息的服務也在探討之中。此前，確認路況靠的是設置在道路上的攝像頭，今后，通過共享各車的信息，駕駛員有望掌握到更詳細、更精準的路況。要想實現這一點，汽車接入互聯網是必要條件。而且，為了推廣服務，制定并公開通信協議標準的呼聲估計也會高漲。

　　而且，在將來，如果ITS技術運用到自動駕駛等功能上，為了實現可通過外部信息控制汽車等便利的汽車社會，確保信息安全將變得愈發重要。

　　從攻擊者的角度來看，前面介紹的三大趨勢就像是不斷在為汽車黑客創造便利條件。接入外部網絡無疑會為攻擊創造入口；倘若通用系統普及，攻擊的難度便會下降；服務的多樣化則意味著汽車擁有大量的信息，只要竊取到有價值的信息，就能直接獲利。

　　當然，只要能劫持車鑰匙和發動機起動系統，盜走汽車也是輕而易舉的。而且，劫持汽車的影響并不局限于個人，有無數汽車穿行其中的交通設施是社會的基礎之一。在大力打擊恐怖活動的美國和歐洲等地，政府主導的汽車信息安全對策方面的研究正在推進之中。即便是從穩定社會的角度出發，為汽車采取安全對策也將成為今后必須要做的事情。對于參與汽車開發的企業而言，研究汽車安全的相關措施可以說已經時不我待了。

　　在信息安全的世界里，在思考如何防御的同時，研究可能遭遇怎樣的攻擊也非常重要。下面，筆者將在已經公開的研究中，挑選4個具有代表性的事例加以介紹。

　　【事例1】美國的一篇研究論文提到的事例

　　2010年，一篇基于實證試驗的論文“Experimental Security Analysis of a Modern Automobile”發表（圖2）。該論文指出，通過在汽車的維護用端口設置特殊儀器，從并排行駛的車輛攻擊車載系統的漏洞，能夠對剎車、雨刷的控制造成影響。

　　這篇論文中提到，在竊聽對象車輛的通信并解析時，由于沒有認證以及發信者地址，很容易偽裝。而且，原本必須在行駛中忽略的命令也有可能在行駛中執行。

　　圖2：解析ECU單體（左），在靜止的底盤上進行ECU之間的解析和試驗（右），行駛中的運行測試（下）

　　目前，惡意利用這些漏洞成功實施攻擊的難度很大。攻擊者需要具備信息安全的專業知識、開發攻擊軟件的能力以及搭建用來連接車載網絡、載入任意控制命令的電子平臺的能力。而且，攻擊需要的器材和軟件的功能單靠市面上的產品無法實現，需要重新開發。

　　但隨著時間的推移，今后，當汽車擁有的信息資產價值提升，成為惡意攻擊者的攻擊對象之后，就像現在消費類產品信息安全的情況一樣，網絡上到處都有使攻擊變得簡單的工具。到那時，攻擊的難度將直線下降。

　　【事例2】攻擊輪胎壓力監測系統

　　輪胎壓力監測系統（TPMS）是利用無線通信不間斷地監測輪胎壓力的系統（圖2）。美國要求汽車必須配備該系統，目的是防止低壓輪胎高速行駛導致輪胎破裂的事故發生。為實現該系統，需要通過無線通信把輪胎壓力信息收集到車輛中。

　　圖3：TPMS的構造

　　2010年在美國發表的論文“Security and Privacy Vulnerabilities of In-Car Wireless Networks： A Tire Pressure Monitoring System Case Study”指出了TPMS的漏洞。論文分析了TPMS的無線通信，指出了以下3點。

　　1．TPMS的通信消息沒有加密，容易竊聽并解析。

　　2．輪胎閥門上安裝的壓力測量裝置有32bit的固有ID，而且能與距離汽車40m遠的場所進行無線通信。如果在路邊和高架橋等地點進行檢測，可以記錄到特定車輛的通過時間。

　　3．可以偽裝TPMS的壓力報告消息，隨時點亮報警燈。

　　TPMS通信消息的解析由具備專業知識的學生實施，耗時1周多。雖說需要高度的專業性，但解析使用的器材成本僅為1000美元左右。

　　系統原本是為提高汽車的安全性而設置，但卻暴露出了車載軟件的漏洞，這有可能成為關乎生命的重大問題。安全對策需更高程度的注意。

　　【事例3】使用廣域網攻擊車載LAN

?　　2011年，除了事例1、事例2介紹的接觸或近距離攻擊汽車的方法之外，還有論文談到了遠程攻擊接入手機網絡的汽車的方法。

　　論文探討了攻擊的多種影響，其中，有可能造成重大危害的，是遠程打開門鎖、惡意攻擊者監視汽車等（圖4）。這一研究揭示了無論身處何方都能攻擊汽車的可能性，因此可以說其意義非常深刻。

　　圖4：遠程攻擊汽車

　　這篇論文提到的事例是，攻擊者為實施遠程攻擊，利用逆向工程技術，通過解析通信及信息終端，開發出了針對特定車型的入侵代碼和可執行代碼。實施攻擊的難度很大。但是，倘若有人開發出了攻擊大企業提供的通信及信息服務的代碼，并且將其散布，就有可能造成大范圍危害，造成嚴重損失。

　　論文列舉出的防范對策包括“切斷不必要的外部通信”、“取消多余的通信服務”、“監測通信狀況”、“從車載系統的開發階段編程時就要有安全意識”、“安裝軟件升級功能”以及“考慮多種功能聯動時的安全”。

　　【事例4】解析防盜器密鑰

?　　在2012年8月舉辦的“第21屆USENIX Security”上，發表了一篇關于只需大約5分鐘即可破解“HITAG2”密碼鎖驗證密鑰這一問題的論文。

　　HITAG2是1990年代開發的防盜方案，其原理是使用RFID標簽控制發動機的起動。采用專用加密方式，認證和加密均使用48位密鑰。在這篇論文中，研究人員把目光放在了HITAG2的漏洞上，表示只需利用1分鐘的時間收集認證步驟的數據，然后經過5分鐘的測試，便可破解密鑰，并且在現場進行了演示。

　　在驗證漏洞時，測試RFID系統使用的是“Proxmark III”板卡。通過竊聽智能鑰匙與車載防盜器之間的電波并解析，偽造出了正確的密鑰。Proxmark III配備了處理HF/LF頻帶電波編解碼的FPGA（現場可編程門陣列）、實施幀處理的MCU等，破解條件完備。但從一般用戶的角度來看，攻擊難度可以說略高。

　　關于HITAG2的漏洞，在信息安全相關會議“BlackHat 2012”上，也有與會者發布報告稱使用FPGA只需50秒即可破解驗證密鑰。攻擊的方法在一般用戶看來同樣難度較大，應對方式與之前談到的方法相同。但該報告還指出，使用FPGA可以高速破解密碼。

　　使用FPGA破解密碼非常簡單。銷售密碼恢復（密碼破解）軟件的俄羅斯企業ElcomSoft表示，與使用高性能處理器并行計算相比，使用FPGA破解密碼的速度要快好幾倍，而且耗電量不到10分之1。這是因為FPGA能夠針對破解密碼，使硬件處理最優化。

　　應對這些事例的可行措施包括“使用AES等非專用加密方式”、“改進隨機數生成器”等。除了企業實施的對策之外，用戶估計也需要采取防范他人接觸汽車鑰匙、鎖車門、鎖方向盤等措施。

　　如上所述，汽車信息安全領域的研究人員正在逐漸增加。今后估計還會發現其他各式各樣的威脅。汽車相關企業應當集全行業之力，全面梳理各類威脅，而不是單獨采取對策。日本信息處理推進機構（IPA）也在全力研究汽車信息安全，請大家積極靈活地加以利用。

　　攻擊汽車的途徑

　　以日本信息處理推進機構（IPA）設想的汽車模型為基礎，對可能攻擊汽車系統的途徑、不同車輛功能群的安全對策等稍作整理。

　　用戶無法一直監控汽車

　　IPA通過分析與汽車信息安全相關的攻擊方法，設想出了三種攻擊途徑（見圖5）。

　　圖5：針對汽車的三種攻擊方法

　　1．直接攻擊

?　　汽車不同于個人電腦和手機，由于其較大的體積及一些性質，用戶很難一直監視車輛。惡意攻擊者比較容易直接接觸到汽車。而且，在進行年檢等檢測的時候，汽車必須交由檢查人員管理，有可能給裝扮成檢查人員的第三方留下可乘之機。而且，用戶在自行改造時，也可能無意識地解除汽車的安全功能。

　　2．從便攜式產品入侵

　　除了汽車廠商提供的功能之外，用戶通過汽配市場等途徑購買并安裝在車上的產品也種類繁多。拆裝這些產品時，來自外部的病毒等威脅有可能進入車內。

　　關于便攜式產品，尤其是智能手機，一方面很容易就能獲得面向汽車的通用應用，但另一方面，其中也摻雜著大量山寨應用和包含惡意代碼的應用。在開發階段就必須要考慮到用戶可能攜帶哪些產品進入車內，其中就包括智能手機。

　　3．從外部網絡攻擊

　　為確保利便性和安全性，汽車上有很多使用通信的裝置。例如智能鑰匙、輪胎壓力監測系統（TPMS）、路車間通信這些使用短距離無線通信的功能，就有可能受到通信被竊聽、被惡意中斷等威脅。

　　而且，最近智能手機與車載系統聯動的功能越來越普遍，汽車連接外部網絡的環境日益完善。再加上車載信息服務開始普及，從外部網絡實施攻擊的威脅已成為現實。以純電動汽車為例，充電時，充電信息將被發送至外部網絡，管理充電情況和充電記錄。

　　一般來說，惡意攻擊者不喜歡留下攻擊痕跡。因此，經由外部網絡實施攻擊應該算是心理負擔最小的方法。反言之，如果攻擊者必須直接接觸車輛才能實施攻擊，攻擊的難度就會明顯增加。在假設攻擊的來源時，了解攻擊者的位置和立場是分析信息安全的第一步。

　　安全對策用汽車模型的定義 由于不同廠商和不同價位（等級）的汽車在構造和功能等方面有很大差異，因此很難定義全行業通用的汽車模型。因此，IPA在思考汽車系統的信息安全時，從汽車需要的可靠性等角度出發，設想了按照車輛功能群進行分類的汽車模型——“IPA Car”（圖6）。

　　圖6：IPA Car的模型

　　IPA Car將車載LAN最大限度地抽象化，假設用1條總線連接全部功能。把所有功能分成實現“行駛、停止、轉彎”的“基本控制功能”、提升舒適性和便利性的“擴展功能”、用戶帶入車內的產品等“一般功能”。

　　容易成為攻擊入口的外部接口可能包含在各項功能中，IPA Car將外部接口其整理到“擴展功能”與“一般功能”之間的連接部分。另外，“基本控制功能”與“擴展功能”合稱為“車載系統”，這兩個功能群又細分為“驅動類”、“信息娛樂類”這樣的形式。本連載在探討威脅和對策時，主要是針對“車載系統”。

　　“擴展功能”大致可以分成兩類。一是包括“車體系統”、“安全舒適功能”、“診斷及維護”在內的“控制相關功能”，主要與行駛、停止、轉彎等汽車的物理功能密切相關。

　　另一類是包含“ITS功能”、“通信與信息”、“信息娛樂”等在內的“信息相關功能”，是有關向駕駛員提供信息的功能。這兩類功能的相關服務一旦發生安全問題，產生的風險截然不同。在采取對策時，根據其中的差別探討安全問題非常重要。

　　IPA認為，上述各功能管理著表1列出的信息和動作。例如，在探討某車載系統的安全時，要首先理清該系統與哪項功能聯動、使用哪些信息，然后再有重點地探討相應的安全問題。屆時，表1的思路可以起到幫助作用。下一篇中，筆者將介紹排查出的威脅安全事例及對策。（特約撰稿人：中野 學，日本信息處理推進機構）

　　表1：應當保護的信息資產示例

　　原因在用戶？還是在攻擊者？

　　威脅發生的原因大致可分成兩類。一類是“用戶偶然引發的失誤等”，另一類是“攻擊者故意引發”。按照不同的發生原因，相應的威脅分別如表2、表3所示。

　　表2：用戶操作造成的威脅

　　表3：攻擊者干擾引發的威脅

　　可能經由OBD-II攻擊

　　在根據表2、表3中的威脅、思考車載系統遭受攻擊的途徑時，需要按照途徑，分成直接連接各項功能的物理接口以及車載LAN兩類，分別考慮（圖7）。對于不同的途徑，影響和對策的范圍也各不相同。

　　圖7：各功能群可能存在的威脅匯總

　　例如，來自外部的直接攻擊是通過汽車與外部通信的物理接口（無線通信、USB端口等）實施。從過去的攻擊事例來看，“接入手機網的車載信息服務和信息娛樂系統功能易受到來自外部的DoS（Denial of Service）攻擊和非法利用”。

　　與之相比，車載LAN是“封閉的通信系統”，可以說遭受外部直接攻擊的可能性較小。尤其是驅動系統和底盤系統，除了車載LAN之外，這兩個系統沒有其他外部接口，可以認為全部通信都經由“封閉的”車載LAN。

　　即便如此，這兩個系統仍有可能遭受攻擊。因為受到直接攻擊的其他功能有可能感染病毒，“間接”向車載LAN傳輸非法命令。也就是說，攻擊的來源是原本可靠的車內的其他功能。

　　入侵車載LAN并非只有“間接”途徑可走。如今，絕大多數車輛都配備了診斷功能“OBD-II”（第二代車載診斷系統），通過OBD-II的接口，也有可能直接攻擊車載LAN。OBD-II與車載LAN是連接在一起的。

　　但實際的汽車系統中，與“行駛、停止、轉彎”相關的功能連接在一起的車載LAN的外部接口大多設有網關，提高了安全性。

　　風險管理至關重要

　　要想減輕前面提到的威脅，必須要采取合理的安全對策。日本信息處理推進機構（IPA）分析并按照與一般信息系統相同的分類，對汽車安全對策進行了整理（表3）。

　　表3：針對威脅的安全對策但表3并未涵蓋所有的汽車安全對策。今后，除此之外，還必須要思考車載系統特有的安全對策。現在，部分汽車研究機構已經開始探討車載系統特有的安全對策。全世界的研究人員也在不斷改進攻擊技術和對策技術，積累新的點子。倘若大家有意對安全對策進行全面梳理，就要定期關注相關內容的更新。

　　另外，這里只是大致羅列了可能存在的威脅和安全對策。在現實中，由于成本等原因，很難做到面面俱到。各公司要根據各自的功能和服務，實施合理的風險管理，包括“重點保護什么”、“采用哪項技術”等。

　　安全措施要覆蓋商品的整個生命周期

　　日本信息處理推進機構（IPA）按照汽車的生命周期（策劃、開發、使用、廢棄），整理出了相應的安全對策（表1），其中也包括了所有企業都需要的管理方針。共分了15個項目。

　　表4：整個生命周期的舉措 直到廢棄都不能怠慢
?????

　　讓我們先來根據表4，了解一下在影響整個生命周期的“管理”、“策劃”、“開發”、“使用”、“廢棄”各個階段的注意事項。

?

　　1．管理（整體）

　　無論在汽車生命周期的哪一個階段，產品提供商都必須要堅持不懈地實施安全對策。制定整體方針，并按照這一方針，在各個階段實施連貫的安全對策。如果每次開發產品和服務時都從零開始制定安全對策，不僅會造成大量浪費，還有可能讓組織的安全對策出現偏差。

　　在管理方面，尤為重要的是培養精通信息安全的人才、制定貫穿整個開發體制的基本規則、不斷收集與“日新月異”的攻擊方式相關的信息。

　　2．策劃階段

　　從進入實際的開發之前的策劃階段開始，就要結合安全對策，這一點非常重要。因為在策劃階段，經常要討論汽車整個生命周期的預算。

　　在這一階段，汽車的理念、配備的功能都將確定。此時，需要考慮各項功能的安全性的重要程度，為與重要程度相符的對策分配預算。而且，在選擇車輛配備的功能，轉交給開發方面的時候，一定不要忘記要包括安全要件。

　　3．開發階段

　　在制造階段，汽車企業及部件企業設計硬件和軟件并安裝到汽車上，是安全對策的最前線。

　　這一階段必須要做的是“準確安裝要件定義”、“安裝時杜絕漏洞”、“萬一存在漏洞，也要能在出貨之前發現”。至于相關對策，還請參考本連載的前幾篇文章。此外，如果預算充裕，還需購置漏洞評估設備等。

　　4．使用階段

　　這是用戶通過銷售店等渠道買到汽車，實際使用的階段。在車輛使用期間，位置信息、用戶下載的軟件、用戶的操作記錄和行駛記錄等大量的信息將存儲在車輛和數據中心之中。而且，像汽車共享、租車、公司用車這樣，用戶并非車主、用戶會在短期內更替的情況也為數不少。

　　雖然安全對策要配合用戶使用的場景來實施，但也要注意保護隱私。另外，如果在車輛售出后發現漏洞，還必須考慮構筑能將相關信息通知用戶和車主、與銷售店和維修廠等構建合作應對的體制。

　　5．廢棄階段

　　在用戶因換購、故障等原因廢棄汽車的階段，往往容易忽視安全對策，因此在這一階段尤其要注意。廢棄的方式包括通過二手車銷售店等渠道轉讓給其他用戶、注銷后報廢等。不同的情況必須采取不同的對策。

　　用戶的協助必不可少 在上面提到的貫穿整個生命周期的舉措中，筆者覺得最為重要的是在使用階段“向用戶、汽車相關人員提供信息”。因為在開發階段幾乎不可能制造出毫無漏洞的系統。

　　汽車的生命周期很長。在用戶開始使用之后，很可能會出現新的攻擊方式和漏洞。創造在使用后給車輛安裝安全補丁的機制可謂勢在必行。

　　但是，安裝安全補丁最好不要像一般信息系統的軟件升級那樣使用互聯網。

　　作為針對可能遭到瞄準漏洞的攻擊的用戶確實采取的安全對策，可以在車檢時實施升級，純電動汽車則可以在充電時升級。例如使用嵌入式軟件的電視機，就有通過電視信號升級的案例。

　　另外，廢棄階段的“制定廢棄方針等”也容易被忽略，要特別注意。除了車主，汽車還經常由他人駕駛。用戶轉讓二手車的情況也比較多。租車、汽車共享等多位用戶同開一輛車的機制也十分普及。這就需要采取措施，防止車主的個人信息落入他人之手。

　　現在的車載導航儀系統可能保存著車主的住址，公司用車則可能保存著客戶的信息，如果車載導航儀可以使用SNS（社交網絡服務），還有可能保存著賬號、密碼等數據。

　　在信息系統的世界，廢棄的硬盤泄露信息的例子很多。汽車上也已經出現了車載導航儀顯示以前車主的信息之類的問題。

　　要想確保安全，除了企業采取措施之外，汽車用戶的協助同樣不可或缺。今后，企業對用戶的安全啟蒙活動估計會愈發重要。

　　不要為安全對策制定“標準答案”

　　最后，筆者想闡述一下自己對于汽車信息安全的看法。

　　首先，汽車相關企業的讀者需要認識到，信息安全對策沒有“標準答案”。因為隨著使用環境、服務內容的不同，采取的對策也有很大不同，而且，一旦確定了“標準答案”，必然會出現專門找（制造）空子的惡意攻擊者。而根據筆者的經驗，空子一般都能找到。

　　汽車行業的開發流程極其注重安全性和可靠性，恐怕很難接受不制定“標準答案”的方針。因為這一方針與徹底排查出可能有損安全性和可靠性的因素并采取對策、然后將對策標準化、全公司共享的汽車開發流程格格不入。

　　另外，車載系統與網絡、信息系統的聯動今后還會加速發展。在汽車開始飛速互聯之際，安全對策要實施到何種程度？對此，筆者還沒有找到答案。

　　盡管如此，社會必然還是會要求車載系統采取安全對策。但世上沒有“萬能藥”，公司內的各個組織必須在實施風險管理的同時，確定采取對策的范圍。到那時，要想實現嚴格的風險管理，恐怕必須要采取全面的威脅及對策方針。屆時，希望大家可以充分利用IPA公布的“汽車信息安全措施指南”。

　　不過，在實施對策時，筆者擔心只有開發者在負責推動汽車安全的發展。信息安全不是單憑開發者的努力就能做到的。除了在實際使用汽車的階段采取安全對策之外，車主留意即可解除的威脅、必須由提供車載系統聯動服務的組織實施對策的威脅也為數不少。

　　幸運的是，汽車行業存在統一接受教育的機會，那就是領取及更新駕照的時候，而且還有定期檢查車輛的“車檢”體系。今后，很可能必須要利用這些社會機制，使汽車所處的環境更加安全。

　　維護汽車信息安全的舉措才剛剛開始。IPA今后還將與汽車相關企業合作，喚醒大家的安全意識，繼續整理威脅和對策技術。衷心希望各位讀者能夠從不同的角度（開發人員、服務商、車主等）出發，提供協助。