入門解説

CANとは
(車載ネットワーク基礎とリスク)

CANとは Controller Area Network の略で、車載を含む組込み制御で広く使われる通信方式です。

CAN in Automation(CiA)は、CAN が ISO 11898 series に国際標準化されたネットワークだと説明しており、Classic CAN(CAN CC)は乗用車の組込み制御ネットワークで広く使われ、broadcast communication(ブロードキャスト通信)、優先度付き arbitration(調停)、高い信頼性、故障隔離 を特徴に持つと整理しています。

導入(トリアージの全体フロー)

CANなどのネットワークを通じて「脆弱性が実際に攻撃可能か(到達性)」をどう判断し、トリアージに落とし込むか。全体フローはこちらをご覧ください。

CANの基本

Classic CAN(CAN CC)は、11-bit または 29-bit の CAN-ID を使ってメッセージ優先度を決め、最大8 byte のデータ を1フレームに載せて送信します。

CiA の説明によると、複数ノードが同時に送信しようとしても、bit-wise arbitration(ビット単位の調停)によって「優先度の高いメッセージが先に流れ、低優先のノードは自動的に受信側へ回る」という仕組みになっています。これにより、リアルタイム性が求められる車両制御に非常に向いた特性を持ちます。

CAN FD との違い

関連概念として CAN FD (Flexible Data-rate) があります。
Bosch と CiA の説明では、CAN FD は Classic CAN の制約を拡張し、データ部で 1 Mbit/s を超える速度と、最大64 byte のペイロード を扱えるようにしたものです。つまり、CAN を理解する時は「Classic CAN」と「CAN FD」を分けて考えると実務で混乱しにくくなります。

なぜリスクがあるのか

CANそのものは高信頼な制御向けネットワークですが、“安全(Safety)”と“セキュア(Security)”は同じではありません。

NHTSA の車両サイバーセキュリティ・ベストプラクティスでは、リスク評価文書は internal vehicle networks、external wireless networks、そして ECU が外部へ見せるあらゆる interface を最低限カバーすべきだとしています。
また、共通データバス上の safety-critical messages(安全に直結する重要メッセージ)は spoofing(なりすまし)の問題を招き得るため、可能なら分離し、分離できない場合は segmentation と message authentication(メッセージ認証) を使うべきだと述べています。

さらにNHTSAは、アフターマーケット機器や個人のスマートフォン等が Bluetooth、USB、OBD-II port などを通じて車両へ接続されることを前提に、これらが安全上重要なシステムへ影響する proxy(中継点)になり得ると注意喚起しています。

つまり、CAN のリスクは「CANという通信技術だけを見る」のではなく、「外からどの入口を経由して CAN へ近づけるか」 を一緒に見る必要があります。

サプライヤー実務で意識すべき境界

部品メーカーやソフトサプライヤーが脆弱性対応(トリアージやOEM回答)において自社の CAN 通信を説明する時に重要なのは、「CAN がある」という事実ではありません。
「どの ECU/機能が、どの入口(外部接点)とつながっているか」 という境界線の把握です。

  • 診断ポート(OBD-II)、Bluetooth、USB、OTAなどの経路があるか
  • 中央ゲートウェイ越しに直接アクセスできる経路があるか
  • その接続機能は「出荷状態」で有効になっているか
  • critical messages が他の一般機能と同じ共通バスを流れているか

NHTSA が segmentation、boundary controls、internal communications control を重視しているのは、ここを明確にしないと実際の露出(アタックサーフェス)が分からないからです。

よくある誤解

  • 誤解1:CANは車内の閉域ネットワークだから、外から攻撃できず安全だ

    違います。 外部無線ネットワーク(テレマティクス)、OBDポート、USB、アフターマーケット機器などが経由点(プロキシ)になり得ます。完全に物理隔離されていない限り「到達性なし」とは言い切れません。

  • 誤解2:CANがあるだけで危険だ

    これも違います。 重要なのは「どの ECU に、どのメッセージが、どの境界条件で届くか」です。CiA が説明する CAN の優先度制御や高い信頼性は「通信品質・機能安全」の話であって、セキュリティ上の「到達性」や「認証の有無」とは別次元の話です。

  • 誤解3:CAN FD は速いから危険だ

    違います。 通信速度やペイロードの拡張は性能面の特徴にすぎません。リスクの判断は、速度ではなく「外部接点との距離(境界)」と「メッセージの重要度」を合わせて行う必要があります。

FAQ:CANとは

Q1. CANとは何ですか?

車載を含む組込み制御で広く使われる Controller Area Network のことです。ISO 11898 series に標準化されており、優先度付きの broadcast(一斉送信)通信を行います。

Q2. CAN FDとは何が違いますか?

CAN FD(Flexible Data-rate)は Classic CAN を拡張した方式で、データ通信の高速化(1Mbit/s超)と、一度に送れるデータ量(最大64 byte のペイロード)を増やしたものです。

Q3. CANはなぜサイバーセキュリティで重要になるのですか?

走る・曲がる・止まるといった車内の「安全に直結する重要メッセージ」が流れる基盤だからです。そのためNHTSAも、内部通信の制御、セグメンテーション(分割)、メッセージ認証の導入を重要視しています。

Q4. CANの仕様だけ見れば、脆弱性のリスク判断はできますか?

できません。CANそのものだけでなく、Bluetooth、USB、OBD-II、OTA、ゲートウェイECUなど、「外からそのCANネットワークへどうやって届くか」という入口の経路(到達性)と一緒に評価する必要があります。

次に読む

CANや外部IFの有無といった情報から「自社製品への到達性があるか」を判断し、トリアージ結果を記録するためのシートはこちら。

自社製品の「影響境界」を整理しませんか?

自社の部品が車両のどのネットワーク(CAN)に繋がり、外部からどのような経路で到達され得るのか。OEMからの脆弱性調査依頼に対して、製品のアーキテクチャに基づいた「影響範囲」と「対応方針」を明確に整理したい方はご相談ください。

【無料】オンライン相談を予約する