あらゆる情報がデジタル化され、社会がデジタルに依存している現代では、必要な情報をしっかりと守る事が重要です。サイバーセキュリティは情報の信頼性維持のために脅威から大切な情報を保護する手段です。今回はサイバーセキュリティとは何なのかについて、情報セキュリティとの違いや車載サイバーセキュリティ規格の動きについて解説します。

情報セキュリティとサイバーセキュリティ

情報セキュリティ

情報セキュリティに関する国際規格の１つにISO27001があります。「情報セキュリティマネジメントシステム」と呼ばれ、組織のISMS(Information Security Management System: 情報セキュリティマネジメントシステム)を認証するための要求事項が示されています。規格の中では情報管理の三原則、機密性・完全性・可用性を保持できる管理体制が要求されています。

・機密性：秘匿の情報が部外者に漏れないこと

・完全性：情報が正確・最新であり、破壊・改ざん・消去されていないこと

・可用性：情報を使いたいときにアクセスできること

ISO27001に従った対策をとると下記の効果が得られます。

・自社の情報セキュリティの仕組みを作る指針になる

・顧客や取引先に対して安全性や信頼性をアピールできる

サイバーセキュリティとは

サイバーセキュリティとはコンピューターやWebサイト、サーバなどで保護された情報への不正アクセスを防ぎ、電子情報の不正な取得・流出、そして改ざんの防止や、防止を目的とした対策です。情報セキュリティの3要素である「CIA」の“脅威となる原因”に対処します。

コンピューターやWeb上の不正アクセスは、「サイバー攻撃」と総称で呼ばれていますが、その種類は多岐にわたります。コンピューターウィルスやスパイウェアなどによる情報の取得や外部送信、パスワードの漏洩によるなりすましアクセス、Webサイトでは、左記のような情報取得のほかにDoS攻撃やDDoS攻撃といった特定のWebサイトに対して大量の情報を送り、ネットワークやサーバ負荷を増大させることによってサイト自体を利用不可にしてしまう攻撃などもあります。

外部からネットワークを介して実行される脅威だけではなく、内部から情報が持ち出されるなどのヒューマンエラーを含めた行為へのセキュリティも含まれます。

身近にある代表的な脅威には、以下のようなものが挙げられます。

• コンピューターウィルス
• 外部からの不正アクセス
• 内部からの不正アクセス
• ソフトウェアの脆弱性
• ネットワークセキュリティの脆弱性
• ID/パスワードの漏えい
• 従業員などによる情報の持ち出し

これらサイバーセキュリティの脅威それぞれについて、「CIA」の3つの観点で対策を検討する必要があります。

サイバーセキュリティの 必要性

サイバーセキュリティの確保は2021年9月1日発足したデジタル庁の最重要課題の一つでもあります。デジタル庁の政策ページには「政府全体として、国民目線に立った利便性の向上の徹底とサイバーセキュリティの確保の両立の観点から、情報システムの設計・開発段階を含めたセキュリティの強化を図ります。」と載っています。

今年5月にはアメリカ最大級のパイプラインがサイバー攻撃を受けてガソリンなどの供給が一時的に停止したこともありました。これはランサムウェア（身代金ウィルス）によるサイバー攻撃であり、パイプラインは5日間停止しました。操業停止の影響で燃料供給がひっ迫、多くの州が緊急事態宣言を出しました。　

一方、自動車はインターネットとつながり、アプリベースの遠隔監視/管理、先進運転支援システム(ADAS)、自動運転と進化を続けています。さらには、カーシェアリングプラットフォームやMaaS (Mobility-as-a-Service)、遠隔車両管理等の新たな自動車活用も増えています。このコネクテッドカーの世界では、自動車でもIoTデバイスと同様のサイバーリスク課題が生じます。犯罪組織が自動車をサイバーハイジャックし、遠隔操作でコントルールする事件も起きかねません。しかし、自動車サイバーセキュリティ対策は立ち遅れとなり、今後おおきなリスクにさらされる可能性があります。

サーバーセキュリティはDX推進でも重要なことです。DXはシステムが管理施設内にあるオンプレミスではなく、クラウドを使うことが多いからです。クラウド使用である限り、サイバー攻撃の標的になります。社内利用であってもインターネット経由のリスクは残ります。外部向けサービスならなおさらのことです。DXでは人とモノがシームレスにクラウドとつながり、データが社外に点在するようになるからです。便利で生産性向上を目指すシステムが設計次第では企業活動を脅かすリスクにもなり得ることを認識しなくてはなりません。

サイバーセキュリティは情報セキュリティの一部という認識がある反面、対策を立てるためには全組織的なアプローチが求められます。従来の情報セキュリティは企業の情報システム部門が管理する範疇でしたが、DXや自動車のサイバーセキュリティは経営層や全組織を横断したチームが先導すべきです。社内IoT、製品、サービスを企画する段階から、どのようなサイバー攻撃のリスクにさらされるかを考慮する必要があります。

車載サイバーセキュリティ規格化の動き

2020年6月に、国際連合欧州経済委員会(UNECE)の下部組織である「自動車基準調和世界フォーラム(WP29)」が、自動車へのサイバーセキュリティ対策（CSMS (Cyber Security Management System)を義務付ける指針（法規制の提案）を採択しました。それによって、サイバーセキュリティ法規を満たしていない車両は、欧州や日本をはじめとした多くの国で販売できなくなる可能性が出てきました。この動きに同調してISO/SAE21434準拠の義務化が進んでいます。

WP.29は2021年1月にサイバーセキュリティとソフトウェアアップデートに関する規則をUN-R155CSMSおよびUN-R156SUMSとして発行し、コネクテッドカーのISO/SAE21434準拠を主張しています

OTA(Over The Air)技術とは、データの送受信を無線通信で行うための技術ですが、日本ではOTA対応の新車では2022年7月から、OTA非対応の新車は2024年1月からCSMS対策が適用される可能性が出てきました。

自動車サイバーセキュリティについては「自動車サイバーセキュリティガイド」で詳しく説明していますので、下記ボタンから無料ダウンロードして下さい。

研修でセキュリティについて正しく理解

サイバーセキュリティは情報セキュリティの一部です。まずは、下記のセキュリティコース研修でISO27001も含めた情報セキュリティの基礎を学ばれることをお勧めします。アメリカのパイプライン事例でのランサムウェアの仕組みや対策についても説明しています。企業様でまとめ受講をされる場合のディスカウントも整えていますので、お気軽にお問い合わせください。

セキュリティコース(集合研修/Web研修/eラーニング)
情報セキュリティ講座	ISMSをベースに情報資産を脅かす具体的な事例と対策についてやさしく解説します。
自動車サイバーセキュリティ講座	ISO21434準拠に向けての概要と導入方法について事例を交えて解説します。