本連載は、2025年4月より日刊自動車新聞に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
1.走ってつながるコンピュータが直面するリスク:表裏一体な「物理的安全」と「サイバーセキュリティ」
現代の自動車は高度な電子制御と通信機能を備えた「走るコンピュータ」であり、スマホアプリやクラウドと連携する走るIoT(モノのインターネット)として価値を生みます。コネクテッド化は利便性・サービス価値を高める一方、リスクも増大させます。過去には、遠隔操作リスクが顕在化し大規模リコールに至った例、クラウドシステムの設定不備で車両位置などが外部から閲覧可能となった例、ポータルサイト等の欠陥を突かれ遠隔追跡・操作が可能になり得た例などが報告され、数百万台規模の自動車への影響が指摘されました。リモート侵入、通信改ざん、OTA(無線ネットワーク通信)悪用、マルウェア感染は、事業継続・顧客信頼に直結する経営リスクです。したがって、機能安全とサイバーセキュリティは不可分であり、完成車メーカーは製品安全と同等の重みでサイバー対策の説明責任を負う、という前提に立つ必要があります。
2.技術的対策だけでない、組織的対策を組み合わせたサイバーレジリエンス
技術面では、暗号化と相互認証、制御系と情報系の分離、侵入検知と常時監視を整備し、堅牢化することで脆弱性を低減します。自動運転では、複数のセンサーを統合するセンサーフュージョンや異常検知システムの導入でセンサー欺瞞を防止します。特にOTAは配信基盤の侵害が「全車一斉」の被害に直結するため優先投資先として位置付け、開発から量産後運用まで、既販車を含む全体で更新・検証を継続する必要があります。
しかし技術だけでは十分ではありません。経営層が主導する組織的対策によるガバナンスも重要です。国連規則UN-R155準拠のサイバーセキュリティマネジメントシステム(CSMS)を中核に、自動車産業におけるサイバーセキュリティ対策の国際基準であるISO/SAE21434が求める脅威分析やリスク評価を要件・設計・テストへ反映し、開発・運用・品質・法務・広報といった各部門の責任分界と会議体まで明確化します。さらに、セキュリティオペレーションセンター(SOC)を整備して車両ログなどを統合監視し、脅威の検知ルールを継続改善します。KPI(重要業績評価指標)として、異常兆候の発見までの平均時間、封じ込めから復旧までの平均時間、パッチ適用日数、重大脆弱性の残数、未更新車比率などをレビューします。調達面ではサプライチェーンのソフトウェア部品表(SBOM)の提出と監査を要件化し、協調的脆弱性開示も整備します。また、対外公表やディーラー対応まで検証し、教育で現場の実行力を底上げします。サイバー対策を品質・安全と同列の経営課題として取締役会へ定期報告し、投資優先度を見直すことも求められます。
出所:KPMG作成
3.「乗員の安全」と「データ」を守るための経営アジェンダへ
サイバー対策は「技術的なソリューション」と「組織的ガバナンス」を両輪として進める必要があります。自動車メーカーがセキュリティを内包したモビリティサービスの担い手として責務を果たすには、最新の脅威動向を踏まえ多層防御を継続的に強化し、全社でサイバー対策を優先する姿勢を貫く必要があります。技術者は堅牢なアーキテクチャ設計と実装を、経営層はCSMSやSOCを基盤に投資と文化醸成を指揮します。インシデント時の停止判断や告知基準も平時に整備し、説明可能性を担保したいところです。両者が一体となり「走る」と「つながる」の安全性を両立して初めて、未来のモビリティ社会における信頼と競争力が確立するのではないでしょうか。
日刊自動車新聞 2026年2月12日掲載(一部加筆・修正しています)。この記事の掲載については、日刊自動車新聞社の許諾を得ています。無断での複写・転載は禁じます。
執筆者
KPMGコンサルティング
プリンシパル 小林 峰司
