自工会/部工会サイバーセキュリティガイドラインとは?制定背景から活用まで解説
自動車の発展、E/Eアーキテクチャの変化について
2024年3月26日
車載ソフトウェアの標準仕様AUTOSARとは?基礎説明から導入時のポイントまで
2024年5月20日
100年に一度の大変革期を迎えている自動車業界において、技術の進歩は目まぐるしい状況が続いています。ACC(オート・クルーズ・コントロール)やAHB(オート・ハイビーム・システム)/AHS(アダプティブ・ハイビーム・システム)など、あくまで運転に対する利便性や安全性の向上を目的とした車内クローズドの機能がどの車両にも標準的に搭載されたかと思えば、現在では、スマホを使用した車両の開錠/施錠、それ以外にもリモートコントロールと呼ばれる遠隔で車両を動かす機能まで当たり前になろうとしてきています。
しかし、技術が進歩する一方で、悪い側面も出てきており、それは技術の穴をついたサイバー攻撃です。昨今ニュースなどのメディアで取り上げられている生産停止や顧客情報の流出など、サイバー攻撃によるインシデントが日々発生していることから、サイバー攻撃は車両の影響に留まらず、サプライチェーンを含む自動車業界を巻き込む事態となっていると言えます。これからの自動車業界は、技術の進歩に加え、サイバー攻撃にどう対応し、いかにしてリスクを減らしていくかが求められています。そこで制定されたのが、自工会/部工会・サイバーセキュリティガイドラインです。今回の記事では、自工会/部工会サイバーセキュリティガイドラインに関する制定の背景、ガイドラインの目的、対象になる産業や企業について説明します。
ガイドライン制定の背景と目的
サイバー攻撃のリスクを挙げると
・セキュリティ対策を強化中の関係企業や取引先等のネットワークへの不正侵入
・企業間ネットワークを経由した攻撃
・標的企業が利用するソフトウェアや製品への不正なプログラムの埋め込み等のサプライチェーンを狙ったサイバー攻撃
など、数多くあります。自動車メーカーやサプライチェーンを構成する各社に求められる自動車産業固有のサイバーセキュリティリスクを考慮した、向こう3年の対策フレームワークや業界共通の自己評価基準を明示することで、自動車業界全体のサイバーセキュリティ対策のレベルアップや対策レベルの効率的な点検を推進することを目的にガイドラインが制定されました。
ガイドラインの対象
ガイドラインの対象は下記と定義されています。
・自動車産業に関係する全ての会社(特にセキュリティ業務に関与している)
ー CISO (最高情報セキュリティ責任者)
ー リスク管理部門
ー 監査部門
ー セキュリティ対応部門
ー 情報システムの開発/運用部門
ー データマネジメント部門
ー サプライチェーンの管理責任を負う購買や調達部門
ー その他のセキュリティに関わる部門(人事・法務・総務)
・特定の業務領域によらず全体の業務に共通するエンタープライズ領域(業務基盤となる OA 環境)
ガイドラインは、「経済産業省 サイバー・フィジカル・セキュリティ対策フレームワーク」を中核に、「NIST Cybersecurity Framework v1.1」、「ISO 27001」、「AIAGCyber Security 3rd Party Information Security 1st Edition」、「IPA 中小企業の情報セキュリティ対策ガイドライン」をベンチマークし作成されています。
ガイドラインの構成
企業の規模によらず自動車産業全体が優先して実施すべき重要項目に加え、取り扱う情報によって標準的に目指す項目や最終到達点として目指すべき項目がわかる構成となっています。
加えて、セキュリティレベルをレベル1~3で定義し、現時点の判定と目指すべき姿までのギャップも分かりやすく分析できます。
各レベルの内容は下記となっており、レベルの数字が大きいほど、理想に近い目指すべき姿を表しています。
・レベル3:2022年4月時点で自動車業界が到達点として目指すべき項目
・レベル2:自動車業界として標準的に目指すべき項目
・レベル1:自動車業界として最低限、実装すべき項目
ガイドラインの詳細構成は、ガイドライン本紙を確認してください。付録としてチェックシートがあり、各項目に対する確認やエビデンスを残しやすくなっているので、ぜひ合わせて活用するのをおすすめします。
ガイドラインの活用方法
ガイドラインの活用方法は下記3つが想定されています。
(1) 企業におけるセキュリティポリシーの策定および対策の実装
・添付チェックシートにおいて示された要求事項および達成基準を参考にして、自社におけるセキュリティポリシー策定およびセキュリティ対策の実装に取り組むことができる。
(2) 自動車産業における信頼のチェーン構築への活用
・ガイドラインを通じ、共通のセキュリティチェックシートによりセキュリティ対策の実装状況を確認することで、多岐複雑な自動車産業の企業間の取引におけるセキュリティ信頼チェーンの構築に活用できる。
(3)企業におけるセキュリティの教育・訓練・啓発活動への活用
・ガイドラインを通じ、自社のセキュリティ状況を把握し、セキュリティに関する各企業での教育・訓練、啓発活動に活用できる。
付録として解説書も添付されており、用語の補足や各項目に観点の詳細の記載があるため、実践する場合は活用してみましょう。
自工会/部工会サイバーセキュリティガイドラインとISO 21434/UN-R155の関係
サイバーセキュリティを語る上で忘れてはいけないのが国際基準のISO 21434と法的基準のUN-R155です。ISOとはInternational Organization for Standardization(国際標準化機構)の略称で、そこが定めた国際基準です。一方UN-R155は、自動車基準調和世界フォーラム(以下、WP29)が定めた法的基準を示しています。ISO 21434とUN-R155はそれぞれ相互補完の関係にあります。この説明だけ見ると、ISO 21434、UN-R155は自工会/部工会のガイドラインとは無関係に見えるかもしれませんが、実は密接な関係がありあります。
ISO 21434とUN-R155にて求められていることは自動車のライフサイクル(開発、生産、出荷後の管理)に加え、自動車メーカーおよびサプライヤーなどを含むサイバー脅威に対応するための組織づくり、教育などといった全般的な対策を求めています。これらのことから、自工会/部工会サイバーセキュリティガイドラインはISO 21434/UN-R155を大枠の基準として、自動車産業全体のサイバーセキュリティ対策のレベルアップや対策の点検を推進するために実践ベースで落とし込んだものだと言えるでしょう。
<ISO21434>
自動車のサイバーセキュリティに関連する要求事項を明記しています。サイバー攻撃を想定して適切な対策の構築とそれを管理する仕組みや体制の構築について定義しています。その内容に関しては、以下のように簡単にまとめましたので、ご参考にしてください。
・リスク管理手法:リスク管理を行うために必要な手法を定義
・開発プロセス:開発のみならず企画から必要なサイバーセキュリティ活動の要件を定義
・生産、運用、廃棄:製品の生産から運用、そして廃棄までに必要なサイバーセキュリティ活動の要件を定義
・サイバーセキュリティ管理:ライフサイクルに関するサイバーセキュリティ管理の要件、組織全体のルールなどを定義
<UN-R155>
車両のサイバーセキュリティ及びサイバーセキュリティ管理システム(以下、CSMS)を定めた国連のサイバーセキュリティ法規の総称です。WP29が規定していますが、CSMS構築、車両型式認証(VTA)に必要な活動、エビデンス、脅威析方法はISO21434から引用しています。UN-R155、ISO/SAE 21434については、以下の記事で詳しく説明していますので、ぜひご覧ください。
<自動車を巡る国際法規と標準、UN-R155とISO/SAE 21434の関係を解説>
さいごに
SDVやコネクテッドカーの普及につれて、 インフォテインメントシステム、ナビゲーションシステム、先進運転支援システム(ADAS)など、最新の自動車にインターネット接続ができるようになって利便性が高くなったものの、その接続性を標的にしたサイバー攻撃が増加しています。今よりも加速度を上げて進み続けるのであろう自動車業界にサイバーセキュリティは欠かせないものになっています。技術の進歩と同じ歩幅かそれ以上のスピードで巧妙になるサイバー攻撃に対し、今だからこそしっかり理解しておく必要があります。
AutoCryptは2007年から培ってきた自動車サイバーセキュリティ技術とノウハウが詰まったセキュリティ対策を提供しています。UN-R155とISO 21434に対応できるCSMS構築コンサルティングも提供していますので、ぜひご覧ください。
CSMS構築コンサルティング:https://www.autocrypt.jp/wp-29/
