自動車やDXで必要なセキュリティ対策

サイバーセキュリティ対策の必要性

サイバーセキュリティの確保は2021年9月1日発足したデジタル庁の最重要課題の一つでもあります。デジタル庁の政策ページには「政府全体として、国民目線に立った利便性の向上の徹底とサイバーセキュリティの確保の両立の観点から、情報システムの設計・開発段階を含めたセキュリティの強化を図ります。」と載っています。

今年5月にはアメリカ最大級のパイプラインがサイバー攻撃を受けてガソリンなどの供給が一時的に停止したこともありました。これはランサムウェア(身代金ウィルス)によるサイバー攻撃であり、パイプラインは5日間停止しました。操業停止の影響で燃料供給がひっ迫、多くの州が緊急事態宣言を出しました。 

一方、自動車はインターネットとつながり、アプリベースの遠隔監視/管理、先進運転支援システム(ADAS)、自動運転と進化を続けています。さらには、カーシェアリングプラットフォームやMaaS (Mobility-as-a-Service)、遠隔車両管理等の新たな自動車活用も増えています。このコネクテッドカーの世界では、自動車でもIoTデバイスと同様のサイバーリスク課題が生じます。犯罪組織が自動車をサイバーハイジャックし、遠隔操作でコントルールする事件も起きかねません。しかし、自動車サイバーセキュリティ対策は立ち遅れとなり、今後おおきなリスクにさらされる可能性があります。

サーバーセキュリティ対策はDX推進でも重要なことです。DXはシステムが管理施設内にあるオンプレミスではなく、クラウドを使うことが多いからです。クラウド使用である限り、サイバー攻撃の標的になります。社内利用であってもインターネット経由のリスクは残ります。外部向けサービスならなおさらのことです。DXでは人とモノがシームレスにクラウドとつながり、データが社外に点在するようになるからです。便利で生産性向上を目指すシステムが設計次第では企業活動を脅かすリスクにもなり得ることを認識しなくてはなりません。

サイバーセキュリティは情報セキュリティの一部という認識がある反面、対策を立てるためには全組織的なアプローチが求められます。従来の情報セキュリティは企業の情報システム部門が管理する範疇でしたが、DXや自動車のサイバーセキュリティは経営層や全組織を横断したチームが先導すべきです。社内IoT、製品、サービスを企画する段階から、どのようなサイバー攻撃のリスクにさらされるかを考慮する必要があります。

車載サイバーセキュリティ規格化の動き

2020年6月に、国際連合欧州経済委員会(UNECE)の下部組織である「自動車基準調和世界フォーラム(WP29)」が、自動車へのサイバーセキュリティ対策(CSMS (Cyber Security Management System)を義務付ける指針(法規制の提案)を採択しました。それによって、サイバーセキュリティ法規を満たしていない車両は、欧州や日本をはじめとした多くの国で販売できなくなる可能性が出てきました。この動きに同調してISO/SAE21434準拠の義務化が進んでいます。

WP.29は2021年1月にサイバーセキュリティとソフトウェアアップデートに関する規則をUN-R155CSMSおよびUN-R156SUMSとして発行し、コネクテッドカーのISO/SAE21434準拠を主張しています

OTA(Over The Air)技術とは、データの送受信を無線通信で行うための技術ですが、日本ではOTA対応の新車では2022年7月から、OTA非対応の新車は2024年1月からCSMS対策が適用される可能性が出てきました。

自動車サイバーセキュリティ関連スケジュール

自動車サイバーセキュリティについては「自動車サイバーセキュリティガイド」で詳しく説明していますので、下記ボタンから無料ダウンロードして下さい。

情報セキュリティ

情報セキュリティに関する国際規格の1つにISO27001があります。「情報セキュリティマネジメントシステム」と呼ばれ、組織のISMS(Information Security Management System: 情報セキュリティマネジメントシステム)を認証するための要求事項が示されています。規格の中では情報管理の三原則、機密性・完全性・可用性を保持できる管理体制が要求されています。

CIAは情報セキュリティの基本

・機密性:秘匿の情報が部外者に漏れないこと

・完全性:情報が正確・最新であり、破壊・改ざん・消去されていないこと

・可用性:情報を使いたいときにアクセスできること

ISO27001に従った対策をとると下記の効果が得られます。

・自社の情報セキュリティの仕組みを作る指針になる

・顧客や取引先に対して安全性や信頼性をアピールできる

eラーニングでDXを正しく理解

サイバーセキュリティは情報セキュリティの一部です。まずは、下記のセキュリティ講座(eラーニング)でISO27001も含めた情報セキュリティの基礎を学ばれることをお勧めします。アメリカのパイプライン事例でのランサムウェアの仕組みや対策についても説明しています。企業様でまとめ受講をされる場合のディスカウントも整えていますので、お気軽にお問い合わせください。

情報セキュリティコース学習タイプ学習時間(目安)価格(1人/月)
セキュリティ講座eラーニング80分3,300円(税込)
おすすめの記事