企業・組織に対するサイバー攻撃は年々増加しており、大規模な情報漏洩の被害もたびたび発生しています。攻撃のターゲットは自動車産業とそのサプライチェーンにも及んでおり、業界を挙げた情報セキュリティ対策への取り組みも活発になってきています。ここでは、自動車業界におけるサイバー攻撃の現状と、サプライチェーンリスクに対策するために公開されたセキュリティガイドラインについてご紹介します。
テクノロジーの大変革のなかで
サプライチェーン攻撃のリスクも増大
サプライチェーン攻撃の
「100年に一度の大変革期」とも呼ばれる大きな変化を迎えている自動車業界。
「Connected:コネクティッド」「Autonomous:自動運転」「Shared & Service:シェアリング・サービス」「Electric:電動化」といった「CASE」と呼ばれる領域での技術革新が進むなかで、社会にとっての車の概念は大きく変わろうとしています。
業界全体が新しいモビリティ社会、「MaaS(Mobility as a Service)」の実現に向けてITの利活用を推進し、車を含むモビリティを単なる交通手段でなく、自動運転やAIなどのさまざまなテクノロジーと融合させた次世代の交通サービスとして発展させようとしています。
そのような状況のなか、車両自体がネットワークとつながることや、企業のITインフラ環境や工場などの制御システムをはじめとする多くの情報システムがインターネットに接続されることで、サイバー攻撃の脅威も増しています。
また、標的となる企業の情報セキュリティが強固な場合には、直接サイバー攻撃を行うのではなく、セキュリティ対策が手薄な関連企業や、部品サプライヤーなどの取引先企業(サプライチェーン)を経由して、ターゲット企業への不正侵入を企てる「サプライチェーン攻撃」も多く見られるようになっています。
実際にあった被害として、部品製造を行う企業でランサムウェアの感染が発生し、主要取引先の自動車メーカーが工場の稼働を停止した事例なども発生しており、自動車産業を取り巻くサイバーセキュリティリスクは深刻化しています。
サイバーセキュリティ法規の施行で
車両開発へのセキュリティ対応が今後必須に
車両開発への
サイバーセキュリティリスクの拡大を受け、自動車業界全体でも対策の必要性が叫ばれるようになりました。
そして2020年6月には、国連欧州経済委員会(UNECE)の下部組織である「自動車基準調和世界フォーラム(WP29)」にて、自動車のサイバーセキュリティ法規「UN-R155」が採択され、2021年1月に施行されました。
「UN-R155」においては、すべての車両の型式認証時に、「CSMS(Cyber Security Management System)の実施を評価すること」が要件として明記されています。CSMSは、産業用オートメーションおよび制御システムを対象としたサイバーセキュリティのマネジメントシステムで、「UN-R155」ではCSMS認証がなければ車両の販売ができないことになります。
また「UN-R155」では、車載用サイバーセキュリティの国際規格「ISO/SAE 21434」に準拠したプロセス構築が推奨されています。CSMS認証を得るためには、「ISO/SAE 21434」準拠のプロセスを構築し、構築したプロセスに従ってセキュリティ開発ができることが求められています。
※参考:「Explanations for the suggested amendments to GRVA-05-05-Rev.1」に基づき、Sky株式会社が作成
https://unece.org/fileadmin/DAM/trans/doc/2020/wp29grva/GRVA-06-17e.pdf
WP29から提案されたCSMS導入のスケジュールにおいては、STEP1、STEP2は移行期間となり、STEP3からはCSMS準拠が必須となります。具体的には、2025年1月以降に販売する車両は、STEP3のCSMS準拠、つまり「ISO/SAE 21434」に準拠した開発が必要となります。
自動車業界全体の対策レベル強化に向けた
「自動車産業サイバーセキュリティガイドライン」
「自動車産業サイバーセキュリティガイドライン」
業界でのこのような流れを受けて、2022年4月には国内の自動車関連企業が所属する2団体「一般社団法人 日本自動車工業会(JAMA)」と「一般社団法人 日本自動車部品工業会(JAPIA)」が、自動車産業に特化したサイバーセキュリティ攻撃のリスクに考慮した「自工会/部工会・サイバーセキュリティガイドライン2.0版」を公開しました※。
背景には、WP29の認証制度によって業界として統一したサイバーセキュリティ対応を行うことが要求されていることや、経済産業省からサプライチェーンのセキュリティレベルの向上に向けて「サイバー・フィジカル・セキュリティ対策フレームワーク」が提示され、情報システム分野で業界標準のガイドライン作成が求められていることがあります。
本ガイドラインは、「自動車メーカーやサプライチェーンを構成する各社に求められる自動車産業固有のサイバーセキュリティリスクを考慮した対策フレームワークや業界共通の自己評価基準を明示することで、自動車産業全体のサイバーセキュリティ対策のレベルアップや対策レベルの効率的な点検を推進すること」を目的としています。エンタープライズ領域(会社全体のベースとなるOA環境)を対象とし、企業規模にかかわらず利用できる、必要最低限実施すべき項目に加えて、さらなるレベルアップ項目を追加した21項目の要求事項と153項目の達成条件が記載されており、今後設備分野や販売店・車両などの他分野に向けた項目整備も順次検討していくとしています。
※引用元:自動車産業サイバーセキュリティガイドライン(一般社団法人 日本自動車工業会)
https://www.jama.or.jp/operation/it/cyb_sec/cyb_sec_guideline.html
ガイドラインが求めるセキュリティの達成を
「SKYSEA Client View」がサポート
「SKYSEA Client View」が
ガイドラインでは、業界内での役割・立場や企業規模などに応じて、3つのセキュリティレベルと、「情報資産の管理(機器)」「パッチやアップデート適用」「不正アクセスの検知」などの分野ごとに分類されたチェック項目(達成条件)が用意されています。
Sky株式会社では、クライアント運用管理ソフトウェア「SKYSEA Client View」やセキュリティ研修などを通じて、これら自動車業界のサイバーセキュリティで求められる各種項目の実現をサポートします。
※出典:「自工会/部工会・サイバーセキュリティガイドライン2.0版」(2022年4月1日)
https://www.jama.or.jp/operation/it/cyb_sec/docs/cyb_sec_guideline_V02_00.pdf
「SKYSEA Client View」やセキュリティ研修などで、
ガイドラインで求められる要求事項の達成を支援
ガイドラインで
ご支援できるガイドライン項目 │ Level 1 - No.62 情報資産(機器)は重要度に応じた管理ルールに沿って管理している
情報機器をルールに沿って管理
クライアントPCやサーバーのソフトウェア情報、プリンターやルーターなどのネットワーク機器情報などを自動で収集し、台帳で一元管理できます。
参考活用事例
毎週定期的に自動収集した情報を基にOSのパッチ適用状況、不適切なソフトウェアの調査を行い、是正を指導するなど。
ご支援できるガイドライン項目 │ Level 2 - No.143 インシデント発生時の調査のために必要なログを取得している
ログの取得
PCの操作ログを収集し、一覧で表示。キーワードや期間など複数の条件を指定して検索でき、最大10年間保存できます。
参考活用事例
保管が必要なログと保管期間を定義し、統合ログ管理システムで保管するなど。
ご支援できるガイドライン項目 │ Level 3 - No.80 許可された機器以外は社内ネットワークに接続できないよう、システムで制限している
社内ネットワークに接続する機器を制限
接続が許可されていないPCが社内ネットワークに接続されると接続を自動的に検知し、管理者へメール通知してログを出力。自動的に接続を遮断※することも可能です。
参考活用事例
接続を許可したPCのIPアドレスやMACアドレスをシステムに登録し、未許可アドレスについては接続を禁止にするなど。
- 「不許可端末遮断」は、エディションによってはオプションでの提供となります。
ご支援できるガイドライン項目 │ Level 2 - No.35 各職場で特に重要なリスクやルールについて啓発活動を実施している
従業員のセキュリティ意識向上
情報漏洩のリスクや、パスワードの取り扱い、インシデント発生時の対応など、従業員一人ひとりのセキュリティ意識向上を目的としたセキュリティ研修をご提供します。
参考活用事例
接続を許可したPCのIPアドレスやMACアドレスをシステムに登録し、未許可アドレスについては接続を禁止にするなど。
Sky株式会社のセキュリティ研修について詳しくはこちら
https://www.skyseaclientview.net/support/guide/guide005.html#service10
「SKYSEA Client View」では、今回ご紹介したもの以外にも、自動車産業サイバーセキュリティガイドラインの要求事項の達成をサポートする各種機能を複数ご用意しています。技術革新とガイドライン整備が進む自動車業界の情報セキュリティ対策に、ぜひ弊社商品をご検討ください。
自動車産業サイバーセキュリティガイドラインに沿った、セキュリティ対策についてご紹介するセミナーも随時開催しています。本セミナーでは、今後セキュリティ対策のさらなる強化を検討されている企業様にお役立ていただけるよう、本ガイドラインにおいてソフトウェアで支援できる項目をピックアップしてご紹介します。ぜひご参加ください。
クライアント運用管理ソフトウェア SKYSEA Client View イベント・セミナー
https://www.skyseaclientview.net/event/