自動車業界とサプライチェーンを襲うサイバー攻撃の脅威!
いま求められる情報セキュリティ対策とは?

企業・組織に対するサイバー攻撃は年々増加しており、大規模な情報漏洩の被害もたびたび発生しています。攻撃のターゲットは自動車産業とそのサプライチェーンにも及んでおり、業界を挙げた情報セキュリティ対策への取り組みも活発になってきています。ここでは、自動車業界におけるサイバー攻撃の現状と、サプライチェーンリスクに対策するために公開されたセキュリティガイドラインについてご紹介します。

自動車産業サイバーセキュリティガイドラインに沿ったセキュリティ対策についてご紹介するセミナーも開催しています。ぜひご参加ください。

テクノロジーの大変革のなかでサプライチェーン攻撃のリスクも増大

「100年に一度の大変革期」とも呼ばれる大きな変化を迎えている自動車業界。
「Connected:コネクティッド」「Autonomous:自動運転」「Shared & Service:シェアリング・サービス」「Electric:電動化」といった「CASE」と呼ばれる領域での技術革新が進むなかで、社会にとっての車の概念は大きく変わろうとしています。

「Connected:コネクティッド」「Autonomous:自動運転」「Shared & Service:シェアリング・サービス」「Electric:電動化」の図

業界全体が新しいモビリティ社会、「MaaS(Mobility as a Service)」の実現に向けてITの利活用を推進し、車を含むモビリティを単なる交通手段でなく、自動運転やAIなどのさまざまなテクノロジーと融合させた次世代の交通サービスとして発展させようとしています。
そのような状況のなか、車両自体がネットワークとつながることや、企業のITインフラ環境や工場などの制御システムをはじめとする多くの情報システムがインターネットに接続されることで、サイバー攻撃の脅威も増しています。
また、標的となる企業の情報セキュリティが強固な場合には、直接サイバー攻撃を行うのではなく、セキュリティ対策が手薄な関連企業や、部品サプライヤーなどの取引先企業(サプライチェーン)を経由して、ターゲット企業への不正侵入を企てる「サプライチェーン攻撃」も多く見られるようになっています。
実際にあった被害として、部品製造を行う企業でランサムウェアの感染が発生し、主要取引先の自動車メーカーが工場の稼働を停止した事例なども発生しており、自動車産業を取り巻くサイバーセキュリティリスクは深刻化しています。

グループ会社、サプライヤー、委託先・取引先を踏み台にしてターゲットを攻撃する図

サイバーセキュリティ法規の施行で車両開発へのセキュリティ対応が今後必須に

サイバーセキュリティリスクの拡大を受け、自動車業界全体でも対策の必要性が叫ばれるようになりました。
そして2020年6月には、国連欧州経済委員会(UNECE)の下部組織である「自動車基準調和世界フォーラム(WP29)」にて、自動車のサイバーセキュリティ法規「UN-R155」が採択され、2021年1月に施行されました。
「UN-R155」においては、すべての車両の型式認証時に、「CSMS(Cyber Security Management System)の実施を評価すること」が要件として明記されています。CSMSは、産業用オートメーションおよび制御システムを対象としたサイバーセキュリティのマネジメントシステムで、「UN-R155」ではCSMS認証がなければ車両の販売ができないことになります。
また「UN-R155」では、車載用サイバーセキュリティの国際規格「ISO/SAE 21434」に準拠したプロセス構築が推奨されています。CSMS認証を得るためには、「ISO/SAE 21434」準拠のプロセスを構築し、構築したプロセスに従ってセキュリティ開発ができることが求められています。

サイバーセキュリティ法規の適用スケジュール
サイバーセキュリティ法規の適用スケジュールの図
参考:「Explanations for the suggested amendments to GRVA-05-05-Rev.1」に基づき、Sky株式会社が作成
https://unece.org/fileadmin/DAM/trans/doc/2020/wp29grva/GRVA-06-17e.pdf

WP29から提案されたCSMS導入のスケジュールにおいては、STEP1、STEP2は移行期間となり、STEP3からはCSMS準拠が必須となります。具体的には、2025年1月以降に販売する車両は、STEP3のCSMS準拠、つまり「ISO/SAE 21434」に準拠した開発が必要となります。

自動車業界全体の対策レベル強化に向けた「自動車産業サイバーセキュリティガイドライン」

業界でのこのような流れを受けて、2022年4月には国内の自動車関連企業が所属する2団体「一般社団法人 日本自動車工業会(JAMA)」と「一般社団法人 日本自動車部品工業会(JAPIA)」が、自動車産業に特化したサイバーセキュリティ攻撃のリスクに考慮した「自工会/部工会・サイバーセキュリティガイドライン2.0版」を公開しました
背景には、WP29の認証制度によって業界として統一したサイバーセキュリティ対応を行うことが要求されていることや、経済産業省からサプライチェーンのセキュリティレベルの向上に向けて「サイバー・フィジカル・セキュリティ対策フレームワーク」が提示され、情報システム分野で業界標準のガイドライン作成が求められていることがあります。

本ガイドラインは、「自動車メーカーやサプライチェーンを構成する各社に求められる自動車産業固有のサイバーセキュリティリスクを考慮した対策フレームワークや業界共通の自己評価基準を明示することで、自動車産業全体のサイバーセキュリティ対策のレベルアップや対策レベルの効率的な点検を推進すること」を目的としています。エンタープライズ領域(会社全体のベースとなるOA環境)を対象とし、企業規模にかかわらず利用できる、必要最低限実施すべき項目に加えて、さらなるレベルアップ項目を追加した21項目の要求事項と153項目の達成条件が記載されており、今後設備分野や販売店・車両などの他分野に向けた項目整備も順次検討していくとしています。

※引用元:自動車産業サイバーセキュリティガイドライン(一般社団法人 日本自動車工業会)
https://www.jama.or.jp/operation/it/cyb_sec/cyb_sec_guideline.html

ガイドラインが求めるセキュリティの達成を「SKYSEA Client View」がサポート

ガイドラインでは、業界内での役割・立場や企業規模などに応じて、3つのセキュリティレベルと、「情報資産の管理(機器)」「パッチやアップデート適用」「不正アクセスの検知」などの分野ごとに分類されたチェック項目(達成条件)が用意されています。
Sky株式会社では、クライアント運用管理ソフトウェア「SKYSEA Client View」やセキュリティ研修などを通じて、これら自動車業界のサイバーセキュリティで求められる各種項目の実現をサポートします。

自動車産業サイバーセキュリティガイドラインのセキュリティレベル定義
自動車産業サイバーセキュリティガイドラインのセキュリティレベル定義の図
出典:「自工会/部工会・サイバーセキュリティガイドライン2.0版」(2022年4月1日)
https://www.jama.or.jp/operation/it/cyb_sec/docs/cyb_sec_guideline_V02_00.pdf

「SKYSEA Client View」やセキュリティ研修などで、ガイドラインで求められる要求事項の達成を支援

ご支援できるガイドライン項目 │ Level 1 - No.62 情報資産(機器)は重要度に応じた管理ルールに沿って管理している

情報機器をルールに沿って管理

クライアントPCやサーバーのソフトウェア情報、プリンターやルーターなどのネットワーク機器情報などを自動で収集し、台帳で一元管理できます。

情報資産(機器)は重要度に応じた管理ルールに沿って管理している図
参考活用事例
毎週定期的に自動収集した情報を基にOSのパッチ適用状況、不適切なソフトウェアの調査を行い、是正を指導するなど。

ご支援できるガイドライン項目 │ Level 2 - No.143 インシデント発生時の調査のために必要なログを取得している

ログの取得

PCの操作ログを収集し、一覧で表示。キーワードや期間など複数の条件を指定して検索でき、最大10年間保存できます。

インシデント発生時の調査のために必要なログを取得している図
参考活用事例
保管が必要なログと保管期間を定義し、統合ログ管理システムで保管するなど。

ご支援できるガイドライン項目 │ Level 3 - No.80 許可された機器以外は社内ネットワークに接続できないよう、システムで制限している

社内ネットワークに接続する機器を制限

接続が許可されていないPCが社内ネットワークに接続されると接続を自動的に検知し、管理者へメール通知してログを出力。自動的に接続を遮断することも可能です。

許可された機器以外は社内ネットワークに接続できないよう、システムで制限している図
参考活用事例
接続を許可したPCのIPアドレスやMACアドレスをシステムに登録し、未許可アドレスについては接続を禁止にするなど。
  • 「不許可端末遮断」は、エディションによってはオプションでの提供となります。

ご支援できるガイドライン項目 │ Level 2 - No.35 各職場で特に重要なリスクやルールについて啓発活動を実施している

従業員のセキュリティ意識向上

情報漏洩のリスクや、パスワードの取り扱い、インシデント発生時の対応など、従業員一人ひとりのセキュリティ意識向上を目的としたセキュリティ研修をご提供します。

参考活用事例
グループ会社を含めたIT部門社員向けに、年2回のサイバーセキュリティセミナーを開催するなど。

Sky株式会社のセキュリティ研修について詳しくはこちら
https://www.skyseaclientview.net/support/guide/guide005.html#service10

「SKYSEA Client View」では、今回ご紹介したもの以外にも、自動車産業サイバーセキュリティガイドラインの要求事項の達成をサポートする各種機能を複数ご用意しています。技術革新とガイドライン整備が進む自動車業界の情報セキュリティ対策に、ぜひ弊社商品をご検討ください。

[オンラインセミナー]自動車産業サイバーセキュリティガイドラインへの対応状況はいかがですか?お申込みはこちら[オンラインセミナー]自動車産業サイバーセキュリティガイドラインへの対応状況はいかがですか?お申込みはこちら
[オンラインセミナー]自動車産業サイバーセキュリティガイドラインへの対応状況はいかがですか?お申込みはこちら

自動車産業サイバーセキュリティガイドラインに沿った、 セキュリティ対策についてご紹介するセミナーも開催しています。 ぜひご参加ください。

SKYSEA Client View
いつでも見られるオンデマンドセミナーのご紹介

ご利用中のお客様はもちろん、ご検討中のお客様にもおすすめ!

自動車産業サイバーセキュリティガイドラインへの対応状況はいかがですか? ~「自工会/部工会・サイバーセキュリティガイドラインV2.0」に沿ったセキュリティ対策のご紹介~

開催期間
12/1110:00〜 9/3017:00

セミナー概要

国内でもサイバー攻撃の被害が報告されており、自動車産業を取り巻くサイバーセキュリティリスクは深刻化しています。

取引先から「自動車産業サイバーセキュリティガイドライン」への対応状況を確認するためのチェックシートが届き、未対応の項目に対してどのように対応すべきなのかお困りの方もいらっしゃるのではないでしょうか。

万一サイバー攻撃の被害に遭うと、被害は自社に留まらず、サプライチェーンに関係するお取引先の工場の稼働停止など、自社だけでは対応できない多大な影響を及ぼす可能性があります。

お取引先への影響を考慮すると、サプライチェーンに関係する企業は早急なセキュリティ対策の強化が必要です。

本セミナーでは、今後セキュリティ対策のさらなる強化を検討されている企業様にお役立ていただけるよう、本ガイドラインにおいてソフトウェアで支援できる項目をピックアップしてご紹介します。ぜひご視聴ください。

  • 2023/6/7に実施したセミナーを録画したものを配信いたします。
  • いつでもご視聴いただける録画配信のため、Web相談会、チャットはございません。ご了承ください。