SaaSやIoTが広く浸透しつつある現代、サイバー攻撃への備えはあらゆる業界に求められる対策の一つとなっています。交通において、新たな移動手段やサービスを組み合わせるMaaS(Mobility as a Service)の実現に向けて、ITの利活用が進む自動車業界も例外ではありません。自動車の概念そのものが大きく変わろうとしている今、車両開発においてもサイバーセキュリティへの備えが必須になりつつあります。この記事では、自動車業界におけるサイバーセキュリティやコネクテッドカーに対する攻撃の実態や、今後その必要性が増していく自動車のセキュリティ対策について解説します。自動車のサイバーセキュリティ法規やCSMSといった、押さえておくべき法規・仕組みにもふれていますので、ぜひ参考にしてください。
自動車業界におけるサイバーセキュリティの高まり
自動車業界におけるサイバーセキュリティの重要性については、大きく分けて2つの観点で捉える必要があります。なぜ、自動車業界でもサイバーセキュリティが必要とされているのか、その背景を見ていきましょう。
自動車は「デバイス」へと変化を遂げていく
まず、車両そのものに対するサイバーセキュリティの重要性が増しています。ICT端末としての機能を搭載したコネクテッドカーの普及が進むにつれて、自動車は「デバイス」へと変化を遂げていきます。それに伴い、自動車業界では、今まさにサイバーセキュリティに関する法令・規制の整備が急ピッチで進められています。
サプライチェーン攻撃への備え
自動車業界においてサイバーセキュリティの必要性が叫ばれるもう一つの理由が、サプライチェーン攻撃のリスクです。セキュリティ対策が手薄なメーカー関連企業や、商品サプライヤーなどの取引先企業(サプライチェーン)を経由して、ターゲット企業への不正侵入を企てる「サプライチェーン攻撃」は昨今、大きな問題となっています。
自動車メーカーの本社を直接攻撃するのは困難だと判断した攻撃者が、関連する取引先企業に対してサイバー攻撃を行い、取引先企業を踏み台にしてメーカー本社への侵入を試みるケースは少なくありません。これからの時代、自動車産業に携わるあらゆる企業にとって、サイバーセキュリティへの備えは必須になりつつあります。
コネクテッドカーに対する攻撃とセキュリティ
コネクテッドカーは、TCU(テレマティクスコントロールユニット)を通じて、衛星やインフラ、ほかの車両などと随時双方向の通信を行っています。それはつまり、コネクテッドカーがネットワークとの常時接続を前提としており、常にサイバー攻撃のリスクにさらされている状態にあることを意味します。
実際に自動車をハッキングする実証実験も行われています。2015年、アメリカの研究者らは、走行中の自動車をハッキングする実験を実施しました。実験は成功し、時速112kmで走行する自動車のエアコンやラジオを遠隔操作したほか、アクセルが機能しない状態にして減速させることもできました。この実験を行った研究者は、当該車両から16km離れた自宅のノートPCから自動車を操作していました。つまり、車両のIPアドレスさえ把握していれば、どこからでも車両のシステムに不正侵入して遠隔操作できることが明らかになったのです。
この実験結果を受けて、FCAUS(旧クライスラー)社は「ジープ・チェロキー」など約140万台のリコールを決断しました。同社に限らず、通信機能を搭載した車両であれば、どのメーカーの自動車でも同様の事態に追い込まれる可能性があります。インターネットに接続された車両は、サーバーやPC、スマートフォンと同様に、サイバー攻撃を受けるリスクをはらんだ「デバイス」であると、あらためて捉える必要があるでしょう。
今後は車両開発へのセキュリティ対策も必要に
車両開発に求められるセキュリティ対策とは、具体的にどのようなものなのでしょうか。近年の自動車業界では、サイバーセキュリティに関する法令の整備やセキュリティ要件の規制が強化されつつあります。いずれも車両開発に携わる企業にとって順守しておくべきルールですので、重要なポイントを押さえておきましょう。
自動車のサイバーセキュリティ法規
2021年1月、国連によって自動車のサイバーセキュリティ法規「UN-R155」が施行されました。UN-R155は、自動車を標的とするサイバー攻撃の脅威を回避できるよう、対策を施すことを義務づけた法規です。 国連欧州経済委員会に属する自動車基準調和世界フォーラムにて打ち出され、日本でも導入が決定しています。UN-R155の規制に関する具体的なスケジュールは次のとおりです。
<UN-R155の規制に関するスケジュール>
- 2022年7月:OTA(Over The Air:無線通信を経由したデータ送受信)に対応した新型車への規制開始
- 2024年1月:OTAに対応していない新型車への規制開始
- 2024年7月:OTA対応の継続生産車への規制開始
- 2026年5月:OTA非対応の継続生産車への規制開始
今後、2026年までに段階を踏んでUN-R155が適用されていきます。各規制の適用後は、日本をはじめ欧州などにおいて基準を満たしていない車両は販売できません。自動車産業に携わるあらゆる企業が、スケジュールと適用対象となる車両を正確に把握しておく必要があります。
セキュリティ要件の標準化や規制が強化
自動車業界では、セキュリティ要件の標準化や規制の強化に向けた動きが活発化しています。中でも、車両のサイバーセキュリティに関するプロセス定義とリスク管理のガイドに相当する国際規格「ISO/SAE 21434」は、重要な指針の一つです。
ISO/SAE 21434は、サイバーセキュリティマネジメント、コンセプトフェーズ、サイバーセキュリティ製品の開発、製品開発後のSIRT(Security Incident Response Team:セキュリティインシデント対応チーム活動)の4要素に分けることができます。ISO/SAE 21434は、自動車の設計、製造から廃棄まで、ライフサイクル全体に及ぶサイバーセキュリティ対策について規定しています。今後、車両の製造・販売を行う際は、これら国際規格を満たすことが不可欠なため、業界全体でセキュリティ要件の標準化や規制強化が進められています。
CSMS適合性評価認定
CSMS(Cyber Security Management System:サイバーセキュリティマネジメントシステム)とは、効率的にサイバーセキュリティのリスク管理を行うための仕組みのことです。日本においても、サイバーセキュリティ法規の条件を満たすにはISO/SAE 21434に準拠したCSMSの構築とプロセスの検証に加え、適切な管理・運用が行われているかの審査を受ける必要があります。審査を通過することで、車両の型式承認を受けられるようになります。
前述のとおり、自動車のサイバーセキュリティ法規の対象となる車両は、近い将来、コネクテッドカーに限らずあらゆる車両へと拡大されていきます。自動車を今後も製造・販売していくには、セキュリティ対策の実施と確実な運用が必須条件となります。
自動車産業全体に求められる対策
今後、自動車へのセキュリティ対策はこれまで以上に強く求められていくことになります。ここでは、前述のUN-R155と併せて、自動車メーカーをはじめ自動車産業全体に求められる対策について解説します。
自動車メーカーが順守するべきセキュリティ要件
UN-R155では、自動車メーカーが順守すべきサイバーセキュリティ要件を次のように定義しています。
<UN-R155におけるサイバーセキュリティ要件>
- 車両に対するサイバー攻撃の検知と防止
- 脅威、脆弱性およびサイバー攻撃の監視
- サイバー攻撃の分析を可能にするデジタル・フォレンジック(機器に残る記録の収集・分析)機能の提供
これらのセキュリティ要件に対応するには、車載ネットワーク監視のためのIDS(Intrusion Detection System:不正侵入検知システム)と、IDSが発するアラートに対してサイバー攻撃の検知や分析、対策を講じるVSOC(Vehicle SOC:車両セキュリティオペレーションセンター)が必要です。
IT機器全般を標的としたサイバー攻撃について、検知・分析・対策を担う組織をSOCと呼びます。VSOCは、SOCの監視対象を車両に拡張したものと捉えられます。各自動車メーカーは、順守すべきセキュリティ要件を満たすために、今後こうした対策を講じることが求められていきます。
自動車産業サイバーセキュリティガイドラインも公開
国際的な法規制の流れを受けて、JAMA(一般社団法人日本自動車工業会)とJAPIA(一般社団法人日本自動車部品工業会)は2020年3月31日、共同でセキュリティガイドラインを策定しました。このガイドラインでは、自動車の製造に携わる企業が必要最低限実施すべき項目に加え、より高いレベルでセキュリティ対策を講じるための21の要求事項と153項目の達成条件が示されています。
■自動車産業CS(サイバーセキュリティ)ガイドラインのセキュリティレベル定義
レベル | 定義 | 各レベルの達成を目指すべき会社 |
---|---|---|
Lv1 | 自動車業界として最低限、実装すべき項目 | ・自動車業界に関係する全ての会社 ◆Lv1の全項目を達成 |
Lv2 | 自動車業界として標準的に目指すべき項目 | 以下のいずれかに該当する会社 ・サプライチェーンにおいて社外の機密情報(技術・顧客情報等)を取り扱う企業 ・自動車業界として重要な自社技術 / 情報を有する企業 ・相応の規模 / シェアを有し、不慮の供給停止等により業界のサプライチェーンに多大な影響を及ぼしうる企業 ◆Lv1,2の全項目を達成 |
Lv3 | 現時点(※)で自動車業界が到達点として目指すべき項目 (※)2022年4月 |
・会社規模・技術レベルの観点で自動車業界を代表し牽引すべき立場の会社 またはそれを目指す会社 ◆Lv1~3の全項目を達成 |
出典:一般社団法人日本自動車工業会/一般社団法人日本自動車部品工業会
「自工会/部工会・サイバーセキュリティガイドライン」(2.1版)
今後も自動車産業の持続的な発展を実現していくために、こうした取り組みは強化・拡充されていくことが想定されます。メーカーに限らず、車両の製造に関わるすべての企業を含む、業界全体の取り組みであることは重要なポイントだといえます。
ガイドラインが求めるセキュリティの達成は「SKYSEA Client View」がサポート
自動車は車両そのものがサイバー攻撃の標的となるだけでなく、サプライチェーン全体が攻撃にさらされるリスクもはらんでいます。今後、国際的に求められるセキュリティ対策の基準を満たしていくためには、セキュリティ法規や順守すべき要件を正確に把握した上で、車両開発に反映させていく必要があります。
Sky株式会社では、クライアント運用管理ソフトウェア「SKYSEA Client View」や、独自のセキュリティ研修などの提供を通じて、自動車産業に求められるサイバーセキュリティ要件の各種項目の実現をサポートしています。ご支援できるガイドライン項目と具体的な対策については、下記の関連記事にてご紹介していますので、ぜひこちらもご参照ください。
▼ガイドライン項目と具体的な対策について詳しくは、こちらの記事をご覧ください
自動車業界とサプライチェーンを襲うサイバー攻撃の脅威!いま求められる情報セキュリティ対策とは?
ガイドラインで求められる要求事項の達成を支援する「SKYSEA Client View」のお問い合わせ・資料ダウンロードはこちらから
お問い合わせ・カタログダウンロード