本連載は、日経産業新聞(2023年8月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
サイバー攻撃の現状と各国で進む規制・ガイドラインの整備
2022年7月、自動車のサイバーセキュリティに関する初の国際規制が始まりました。コンピュータ制御が進む自動車の運転中の「乗っ取り」などを防ぐためです。
2021年、国連欧州経済委員会(ECE)による自動車を対象としたサイバーセキュリティ規定「UN-R 155」が発効、日本や欧州では、2022年7月以降に発売する車両から段階的にサイバーセキュリティの実装が業務付けられました。将来の自動運転車やコネクテッドカーの普及を見据えると、完成車メーカーやサプライヤーにとって、サイバーセキュリティ対応は待ったなしです。
UN-R155では、自動車は「プロセス」と「車両」の2つの観点で認証を受けなければなりません。具体的には、車両ごとにサイバーセキュリティを担保する仕組みを「サイバーセキュリティマネジメントシステム」(以下、CSMS)として構築するというものです。
国内での認証は、独立行政法人 自動車技術総合機構傘下の交通安全環境研究所による審査と3年ごとの監査があり、認証されたプロセスに沿った車両の開発・生産に加え、市場投入後もサイバーセキュリティ対策を確保することが必要となります。
2021年には、国際標準化機構(ISO)と米自動車技術者協会(SAE)がサイバー攻撃から自動車を保護するための規格「ISO/SAE 21434」をまとめました。セキュリティ機構と車両のライフサイクル全体でのCSMSの確保に重点を置いた規格で、これにより業界全体で用語が共通化され、完成車メーカーやサプライヤーはインターフェースやプロセスを共通化し責任を共有できるようになりました。
完成車メーカーやサプライヤーがCSMSを構築するには、(1)プロジェクトマネジメント(2)計画(3)導入(4)運用の4段階での取組みが求められます。導入計画の作成からリスク管理プロセスの構築、人材育成、サプライヤーとの連携など、ISO/SAE 21434で定義された文書やルールなどの「成果物」に基づき現状を評価したうえで、不足する「成果物」を洗い出し、CSMS構築のロードマップを作成する必要があります。
今後、日本と欧州ではサイバーセキュリティに対応していない自動車は販売できなくなり、将来は他の地域にも同様の動きが広がると見込まれます。セキュリティ対応にかかるコストも大きいため、自動車メーカーだけでなくサプライヤーも含めたサプライチェーン全体で、効率的なCSMSを構築することが肝要です。コストを抑制しながら、自動車の安全とセキュリティを確保した経営を実現できるかが、次代の競争を勝ち抜く条件となります。
日経産業新聞 2023年8月16日掲載(一部加筆・修正しています)。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。
執筆者
KPMGコンサルティング
ディレクター 保坂 範和