
IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
中国は、自動車サイバーセキュリティに関する国家強制規格「完成車サイバーセキュリティ技術要件」(中国語名称:汽车整车信息安全技术要求。以下「完成車サイバーセキュリティGB」)を制定し、2026年1月1日から施行が予定されています。完成車サイバーセキュリティGBは、「中国製造2025」政策1の一環として、2020年「スマート自動車イノベーション発展戦略」2における重要な政策的動向です3。
完成車サイバーセキュリティGBは、自動車サイバーセキュリティに関する法規であるUNR155と、それに準拠するために参照される国際規格であるISO21434の両方を参照しているため、多くの要求事項において類似性が確認できますが、リスクアセスメント方法、データ処理、暗号の使用などに関して差異も多く存在します。
完成車サイバーセキュリティGBの施行により、中国で自動車生産する企業のみならず、中国向けに輸出される自動車もその影響を受ける可能性があります。
完成車サイバーセキュリティGBの適用対象車両には、四輪の乗客輸送用Mカテゴリ、四輪の貨物輸送用のNカテゴリおよびOカテゴリのトレーラーなどが挙げられます。
新規型式で申請する車両については、完成車サイバーセキュリティGBの施行日から適用され、型式が申請済みの車両については、施行日の25カ月後から適用されます。
完成車サイバーセキュリティGBは、主にサイバーセキュリティマネジメントシステム(CSMS)要件、車両に関するサイバーセキュリティ技術的要件、審査およびテスト方法の3つの部分から構成されています。CSMS要件では車両のライフサイクルに応じたサイバーセキュリティマネジメントシステムのほか、研究開発から廃棄までをスコープとしたリスク管理プロセスを構築することが要求されています。サイバーセキュリティ技術的要件は、外部接続セキュリティ要件、通信セキュリティ要件、ソフトウェアアップデートセキュリティ要件、データセキュリティ要件により構成されています。
審査およびテスト方法は、CSMS要件と技術要件の項目ごとに明確な方法が規定されています。
CSMS認証と型式認証に分かれており、下記の通り同一型式判定はサイバーセキュリティ要件、サイバーセキュリティ審査後に一部変更した場合の同一判定とデータ処理機能による同一判定の3つの状況に応じて行われます。
サイバーセキュリティ要件については、以下のいずれかに該当する場合に同一型式として判定されます。
また、上記のサイバーセキュリティ要件の一部に変更があるものの、以下の条件に適合する場合には車両全体ではなく、変化した部分のみに対して審査を行うことで拡張の認可を得ることができます。
データ処理機能については、以下のいずれかに適合する場合、同一型式として判定されます。
完成車サイバーセキュリティGBは、UNR155とISO21434を参照しているため、多くの類似点が確認できますが、以下のとおり、いくつかの差異があります。
中国独自の自動車サイバーセキュリティに関する強制規格である「完成車サイバーセキュリティGB」は、中国において自動車を生産する日本企業のみならず、中国へ自動車を輸出する企業にも影響が及ぼす可能性が高いです。
また、UNR155、ISO21434を参照しているため類似点が多いですが、中国の法規は複雑に相互参照し合い、1つの法規だけでは要件の全体像がつかめないという特性があるため、その差分を確認し対応する必要があります。さらに、新規型式申請する車両への適用移行期間が短いため、早めに検討する必要があります。
完成車サイバーセキュリティGBは、車両のライフサイクルに応じた対策を求めている点で、Tier1を含め、サプライチェーン全体での対応が必要です。
1国务院关于印发《中国制造2025》的通知,2024年7月5日閲覧、https://www.gov.cn/zhengce/content/2015-05/19/content_9784.htm
2关于印发《智能汽车创新发展战略》的通知,2024年7月5日閲覧、https://www.ndrc.gov.cn/xxgk/zcfb/tz/202002/t20200224_1221077.html
3中国における自動車セキュリティに関する法規制(上)(下),2024年7月5日閲覧,
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/china-auto-security1.html
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。
慶應義塾大学大学院特任准教授の吉永京子氏、アレシア国際法律事務所代表弁護士の有本真由氏をお迎えし、AI活用におけるガイドラインや規制に関する世界の最新動向を踏まえつつ、日本企業に求められる戦略と実務対応について考察します。
世界に先駆けて経済安全保障の包括的対策を法制化した日本。法制度の趣旨や既存法制との違いについて法律の専門家に解説いただくとともに、日本電気の実例を基に、リスクと機会を正しく捉える企業対応のあり方を探ります。
コロンビア大学ロースクール教授でPwC Japanグループ顧問のアニュ・ブラッドフォードが、米国の新政権誕生によって米国・欧州・中国関係が転換点を迎える今、国際貿易とデジタル規制の最新動向を分析し、日本企業がとるべき具体的な対応策を解説します。
NIKKEI Digital Governance 編集長の中西豊紀氏とTMI総合法律事務所パートナー弁護士の大井哲也氏とともに、企業に求められるデジタル法規制対応のあり方を示し、実務担当者の意思決定を支えるメディアの役割について議論しました。