型式認証(VTA)とサイバーセキュリティについて:コネクテッドカー時代の新たな安全基準
自動車サイバーセキュリティに対する中国独自の動き、GB・GB/Tについて解説
2024年7月4日
遠隔型自動運転とは?必要性と国内導入事例を紹介
2024年8月19日
とサイバーセキュリティ.png)
現代の自動車技術の進化に伴い、インターネット接続機能をもつコネクテッドカーが急速に普及しています。これにより、ドライビングの利便性が向上すると同時に、サイバーセキュリティリスクも増大しています。特に、2015年に発生したジープ・チェロキーのリモートハッキング事件では、ハッカーが遠隔操作で車両の制御を奪うという衝撃的な事例がありました。
こうした背景もあり、自動車のサイバーセキュリティ対策が急務であることが明確になりました。そこで、型式認証(VTA:Vehicle Type Approval)の条件にサイバーセキュリティ対策が追加されました。本記事では、自動車サイバーセキュリティの重要性と、それに密接に関連する型式認証(VTA)の仕組みについて分かりやすく説明します。
弊社は技術機関として指定され、VTA(車両型式認証)制度に基づき、中立な立場でサイバーセキュリティに関する審査を行っています。詳しくはこちらをご覧ください。
型式認証(VTA)とは何か
型式認証(VTA:Vehicle Type Approval)とは、製造された新型車両が各国の法的基準を満たしていることを証明するための制度です。この認証を受けることで、車両は合法的に市場にリリースされます。VTAの主な役割は、車両の安全性、環境性能、およびその他の法的要件を確認し、消費者に安心して利用してもらうことです。VTAの対象となる自動車は、乗用車、商用車、二輪車、トラック、バスなど多岐にわたります。各国の規制に応じて、これらの車両が市場に投入される前に、必要な認証を取得する必要があります。
VTA取得のプロセス
VTAの取得プロセスにはいくつかのステップがあります。まず、製造者は車両が規制基準を満たしていることを確認するために必要な書類や試験データを準備します。次に、認定された技術機関が提出された書類や試験データを審査し、必要に応じて車両の実物試験を行います。すべての基準を満たしていると確認されれば、型式認証が発行されます。
CSMSとSUMSの重要性
VTA取得には、CSMS(Cyber Security Management System)とSUMS(Software Update Management System)の導入が必須です。
これらのシステムの法的根拠として、2019年に施行されたUNECEの新規則があります。この規則により、車両メーカーはサイバーセキュリティリスクを評価し、適切な対策を講じることが義務付けられています。
CSMSの認証を受けるために必要なサイバーセキュリティ
CSMSには、車両の設計から運用までのサイバーセキュリティリスクを管理するシステムです。以下の要素があります。
1. リスクアセスメント
サイバーセキュリティリスクの評価と管理が基本となります。これは、脅威が車両の機能やデータに与える潜在的な影響を識別し、それに応じたリスク低減策を計画・実行するプロセスです。例えば、BluetoothやWi-Fi通信を分析し、リスクを特定して対策を講じます。
2. 防御策の実装
通信の暗号化や不正アクセス防止機能の導入が重要です。暗号化は、データの保護を強化し、サイバー攻撃からの防御を確立するための鍵となります。また、認証システムを導入することで、認証されたユーザーのみがシステムにアクセスできるようにします。
3. 定期的なレビューと更新
最新の脅威に対応するためのセキュリティ対策の見直しと更新を行います。これは、継続的なモニタリングと脆弱性管理を含み、既知の攻撃に対する迅速な対応を可能にします。定期的なセキュリティレビューにより、新たな脅威や脆弱性を早期に発見し、適切な対策を講じることができます。
CSMSは、車両の全ライフサイクルにわたってサイバーセキュリティを管理するための包括的なプロセスを提供します。これには、設計・開発段階から製造、運用、廃棄までの各段階でのサイバーセキュリティリスクを評価し、管理するための体系的なリスクマネジメントシステムの導入が含まれます。また、継続的なモニタリングと既知の攻撃に対する迅速な対応も重要な要素です 。
SUMSの認証を受けるために必要なサイバーセキュリティ
SUMSとは、ソフトウェアの安全な更新プロセスを管理するシステムです。以下の要素があります。
1. 安全な更新配信
セキュリティリスクを最小限に抑えるための暗号化された更新ファイルの配信を行います。暗号化により、ソフトウェア更新中のデータ改ざんや不正アクセスを防ぎます。
2. 更新プロセスの管理
更新の正当性を確認し、信頼性のある手順でのインストールを実施します。これには、更新前後のシステム状態の検証が含まれます。更新前に正当性を確認することで、未承認の変更や不正なソフトウェアのインストールを防ぎます。
3. 更新後の検証
更新後のシステムの整合性と安全性を確認します。これにより、更新によって新たな脆弱性が生じていないかをチェックし、必要に応じて追加のセキュリティ対策を講じることができます。SUMSは、車両のソフトウェアが最新の脅威に対して常に保護されるようにするためのフレームワークを提供します。ソフトウェア更新の信頼性を確保し、不正アクセスを防止するための重要な要素です。
サイバーセキュリティ基準の内訳
サイバーセキュリティ基準には、通信の暗号化、不正アクセス防止機能、定期的なセキュリティ更新などが含まれます。これらの基準が適切に実装されることで、車両がサイバー攻撃に対して高い耐性を持つことが期待されます。通信の暗号化は、車両と外部ネットワーク間のデータ通信を保護するための重要な手段です。不正アクセス防止機能は、認証されたユーザーのみが車両システムにアクセスできるようにするための対策です。定期的なセキュリティ更新は、最新の脅威に対応するために必要な措置であり、車両のセキュリティを常に最新の状態に保ちます。
技術機関(テクニカルサービス)の役割
技術機関(テクニカルサービス)は、VTAの審査や試験を行う専門機関です。これらの機関は、車両が市場に出る前に規制基準を満たしているかを確認するために、審査を行います。主要な技術機関には、日本自動車研究所(JARI)、ドイツのテュフラインランド、アメリカのULなどがあります。
これらの機関は高度な技術力と公正な審査能力を持ち、車両の安全性と信頼性を確保する役割を担っています。
VTAに関する国際協定
UNECE(国際連合欧州経済委員会)のWP.29は、自動車のサイバーセキュリティに関する国際基準を策定しており、各国がこれを自国の法律に取り入れることで、グローバルな自動車サイバーセキュリティの向上を目指しています。
WP.29(自動車基準調和世界フォーラム)は、世界各国の自動車に関する技術基準を統一することを目的とした組織であり、日本もこの基準を積極的に導入しています。
日本のサイバーセキュリティ対策
日本は、UNECE WP.29の国際基準を積極的に導入し、国内のVTA制度を強化しています。これにより、国内外の自動車メーカーが高いセキュリティ基準を満たすことを求め、消費者により安全なコネクテッドカーを提供することを目指しています。今後も国際基準に基づいたサイバーセキュリティ対策を推進していきます。
さいごに|VTAとサイバーセキュリティの未来
コネクテッドカーの普及が進む中、型式認証(VTA)とサイバーセキュリティの重要性はますます高まっています。今後も国際基準に基づいた厳格な審査と認証が求められ、消費者はより安全な車両を利用できるようになります。VTA制度とサイバーセキュリティ対策の強化は、自動車業界全体の信頼性向上に貢献し、安全なモビリティ社会の実現に寄与するでしょう。
参考文献
- 国土交通省資料(https://www.mlit.go.jp/kisha/kisha05/09/090928/02.pdf)
- JISEC FAQ(https://www.jasic.org/j/02_faq/faq.htm#4-q4)
- AUTOCRYPT ニュースリリース(https://www.autocrypt.jp/news/autocrypt-technical-service/)
