自動車サイバーセキュリティ
2022年12月16日
現在、自動車はWireless KeyやETC、GPSなど多くの通信で外部と繋がっており、Connected(コネクテッド)、Autonomous(自動運転)、Shared & Services(シェアリング&サービス)、Electric(電気自動車、EV)のCASEを制す企業が2020年代以降の自動車業界を制す、と言われています。 このような技術の発展と共に重要視されているのが、技術を安全に活用するためのセキュリティです。2022年2月、車載部品メーカーである小島プレス工業で攻撃者にリモート機器の脆弱性を突かれ、社内ネットワークに不正アクセスされました。そののち、システムのデータを暗号化されて身代金を要求するランサムウェア攻撃を受け、システム障害に陥りました。被害は小島プレス工業だけでなく、この取引先であるトヨタ自動車は部品の不足のため14工場28ラインを停止することとなりました。 一例をあげましたが、今後、今以上に自動車業界がサイバー攻撃の標的になりやすくなっていくことが容易に想像できます。それは、ネットワークに繋がった自動車が社会インフラとしての重要性を高め、社会へのインパクトが大きくなったり、ランサムウェア攻撃の標的としてより高額の身代金を要求できたりするためです。 しかし、これまでは自動車業界全体としての対策レベルの向上や信頼の確保を図るためのセキュリティルールが全世界で存在せず、各自の対応に一任されていました。そのため、全世界で共通の自動車のサイバーセキュリティ対策が求められてきました。 自動車サイバーセキュリティが欧州や日本で義務化される背景 2020年6月、自動車基準調和世界フォーラム(WP29)にて、自動車のサイバーセキュリティ法規(UN-R155)が自動車のサイバーセキュリティ関連で初めての国連規則かつ法規制として拘束力をもつものとして採択されました。 WP29は、国連欧州経済委員会(UNECE)の作業部会で、安全で環境性能の高い自動車を容易に普及させる観点から、自動車の安全・環境基準を国際的に調和することや、政府による自動車の認証の国際的な相互承認を推進することを目的としています。メンバーは、欧州各国、1地域(EU)に加え、日本や諸各国も参加しています。 つまり、WP29のメンバーで採択された自動車サイバーセキュリティ法規により、そのメンバーである欧州や日本では2022年7月以降に発売される新車から、段階的に対応が義務化されることとなったのです。 自動車サイバーセキュリティに関する国際規格、UN-R155とISO/SAE21434の説明 先述の通り、UN-R155は自動車のサイバーセキュリティ関連で初めての国連規則かつ法規制として拘束力をもつものです。またISO/SAE21434は道路車両—サイバーセキュリティエンジニアリングの国際標準規格です。ISO/SAE21434は、その要求事項を組織及び製品に適用することで、欧州・日本で法規制となったUN-R155の規定を満たすことができるようなガイドとなっています。 まず、UN-R155について説明します。このセキュリティ法規を遵守するため、各社はプロセスとプロダクトの2つの認証を実施しなければなりません。プロセスでは、認証当局により自動車製造業者(OEM)に対して、自社内外関わらず、最新リスクの特定、処理、管理、セキュリティテスト、インシデント・攻撃の検出と処理、脅威インテリジェンス、脆弱性監視の全プロセスにおけるサイバーセキュリティ体制が構築できていることを確認するための審査を事前に行い、適合証書を発行する必要があります。この適合証書発行のため、後段で説明するISO/SAE 21434 に従って組織やルール&プロセスを整備し、その妥当性を第三者に説明しなければなりません。またプロダクトでは、認証されたプロセスに従って、車両が開発・生産されているかどうかの実証が求められます。 次に、ISO/SAE21434を説明します。ISO/SAE 21434は、路上を走行する車両内部の電子制御システムに関して、サイバーセキュリティ観点でのプロセス定義およびリスク管理をガイドする目的で作成された国際規格です。対象範囲は、自社内外関わらず、企画から開発、運用、廃棄に至るまでの自動車のライフサイクル全般にわたり、対象となるアイテムやコンポーネントも車両や車両のシステムだけでなく、ネットワークにより社外に繋がる他社で製造した外部デバイスも含まれています。 ISO/SAE 21434は大きく、サイバーセキュリティマネジメント、コンセプトフェーズ、サイバーセキュリティ製品開発、製品開発後の生産、運用保守、リスク分析・評価の6つの内容に分かれます。 サイバーセキュリティマネジメント 組織のサイバーセキュリティ管理と、プロジェクトのサイバーセキュリティ管理の2つの活動が要求されています。 まず、組織のサイバーセキュリティ管理ではサプライチェーン全体でISO/SAE 21434に準拠したルール&プロセスの構築と、実際にプロセスを運用するための組織の構築が必要です。サイバーセキュリティ内部統制の仕組み及び、サイバーセキュリティ意識管理、力量管理及び継続的改善を含むサイバーセキュリティ文化を確立しその維持を行っているか、3年に1回監査を実施することが求められています。 […]
2022年10月24日
次世代のモビリティ社会の実現に向けた自動運転セキュリティ及びMaaSソリューションを手掛けるアウトクリプト株式会社(AUTOCRYPT Co., Ltd.、https://www.autocrypt.jp、本社:韓国ソウル、代表取締役 金・義錫、以下アウトクリプト)は、自社車載システムセキュリティソリューション「AutoCrypt IVS」が、「CyberSecurity Breakthrough Awards 2022」にて、今年の自動車サイバーセキュリティ賞を受賞したことをお知らせいたします。 今年第6回を迎える「CyberSecurity Breakthrough Awards」は、サイバーセキュリティ業界をリードする企業をはじめ、製品、技術革新、人々を表彰するアワーズで、情報セキュリティ業界で最も包括的なプログラムとして機能するために設立されました。「AutoCrypt IVS」としては初の受賞となり、自動車ライフサイクル全領域をカバーする唯一のソリューションであることが高く評価されました。 【CyberSecurity Breakthrough Awards マネージング・ディレクター ジェームズ·ジョンソン 評価コメント】 自動車に搭載されるソフトウェアは高度化かつ複雑化し、開発工数は増加の一歩を辿っています。今後自動車メーカーには、ソフトウェア間の連携や相互作用を考慮した設計と統合的な制御が求められることになるでしょう。AutoCrypt IVSは、脅威分析とリスクアセスメント(TARA)をはじめ、セキュリティテスティング、脅威緩和まで、それぞれのセキュリティ対策を一元化しプロセスの簡素化と一貫した運営を支援する、唯一の車載システム向けセキュリティソリューションということから高く評価されました。 受賞企業一覧 ▶ https://cybersecuritybreakthrough.com/2022-winners/ 【アウトクリプト 代表取締役 金・義錫 […]
