自動車サイバーセキュリティ法規制・認証制度 概説

モビリティの進化に伴い、自動車のサイバーセキュリティ対策は製品開発に不可欠な要素となりました。本稿では、自動車業界が対応すべき主要なサイバーセキュリティ規制・認証制度を概観します。さらに、これらの法規制対応に必要な組織体制の構築方法や、サプライチェーン全体での安全性確保の実践、そして効果的なセキュリティマネジメントを実現するポイントについても詳説します。

登壇者

PwCコンサルティング合同会社
シニアマネージャー
亀井 啓

自動車業界を取り巻く環境の変化
コネクテッド化と自動運転がもたらす新たな脅威

自動車業界は、前例のない技術的変革期を迎えています。自動運転技術の進展とコネクテッド機能の普及で、車両に搭載されるソフトウェアの大規模化と複雑性が加速しています。現在は自動車を購入した後でも、ソフトウェアアップデートを通じて車両機能を進化させたり、最新の状態に維持したりできるようになりました。

一方で車両がネットワークと接続することで、セキュリティ上の脅威も急速に拡大しています。事実、近年は車載ソフトウェアの脆弱性報告が相次いでいます。2015年の国際セキュリティカンファレンス「Black Hat」では、特定車種のファームウェアが遠隔から改ざんされ、エンジンやブレーキの乗っ取り操作が可能になる脆弱性が発表されました。この事例は、自動車業界にサイバーセキュリティ対策の重要性を強く認識させる契機となりました。

また、こうしたコネクティビティを前提としたモビリティサービスの普及に伴い、従来の自動車メーカー単独モデルから他メーカーや異業種との協業・連携モデルへと移行が進み、システムのみならず開発・製造プロセスも複雑化しています。自動車業界のサイバーセキュリティ対策強化は、喫緊の課題となっています。

サイバーセキュリティ関連法規制および認証制度
グローバルに進む自動車セキュリティ規制の標準化

自動車業界は、他の製造業に先駆けてサイバーセキュリティに関する法制化を進めてきました。一方で、現在、自動車メーカーは公道走行を前提とした乗用車に加え、特定区画内で人や物を運ぶ自動作業車両など、より多様なモビリティ製品の開発に取り組んでいます。こうした動きに伴い、自動車メーカーには従来の枠組みを超える広範なセキュリティ規制への対応が求められています。

地域別に見ると、欧州では法制化を軸にサイバーセキュリティの強化を進めています。一方、日本や米国では、政府調達や消費者向けIoT（Internet of Things）製品を対象とした、市場選択型の認証・ラベリング制度の整備が進められています。

ここで、主要な法規制および認証制度の概要を整理しましょう。下表は、欧州・日本・米国における主なサイバーセキュリティ法規制および認証制度を一覧にまとめたものです（図表1）。

図表1：自動車（モビリティ）製品に関連するサイバーセキュリティ規制

中央にある「UN-R155 Cybersecurity（サイバーセキュリティ規則）：以下、UN-R155」は、公道走行車両に適用される国際的な規則です。

UN-R155を理解する上で不可欠なのが、国際規格「ISO/SAE 21434」です。同規格はUN-R155で求められるサイバーセキュリティ対応を、具体的な業務プロセスとして詳細に定義しています。欧州・日本を中心に自動車メーカーの多くは、この規格を基準に対応を進めています。

また、自動車業界のサプライチェーン全体にわたるセキュリティ確保を目的とした「Trusted Information Security Assessment Exchange（TISAX）」の認証制度も欧州を中心に普及しています。TISAXは自己申告型ではなく第三者による監査プロセスを伴う点に特徴があり、自動車メーカーがサプライヤーのサイバーセキュリティ対応能力を客観的に確認することを目的に活用されています。これにより、サプライチェーン全体でのセキュリティ品質の担保が図られています。

UN-R155とは何か
規則の全体像と審査の仕組み

下図（図表2）のとおり、UN-R155では2つの認可要件が定められています。

図表2：UN-R155 自動車サイバーセキュリティ規則：概要

^{出典：UN Regulation No 155 – Uniform provisions concerning the approval of vehicles with regards to cybersecurity and cybersecurity management system}

1つは「プロセス認可」です。これは組織として安全な車両を開発・提供し、その安全性を継続的に維持できる能力があるかどうかを審査するものです。もう1つは「型式認可（プロダクト認可）」で、従来の型式認証にサイバーセキュリティ要件が新たに追加されたものです。

とりわけ「プロセス認可」は、従来にはなかった新しい制度です。車両ライフサイクル全体を対象とするサイバーセキュリティマネジメントシステム（Cybersecurity Management System：CSMS）の確立が求められ、車両単体の安全性だけでなく、組織全体でセキュリティを継続的に確保する体制が審査対象となる点は、業界にとって大きな変化と言えるでしょう。

自動車メーカーはプロセス認可を取得した後は、車両の型式ごとに「型式認可」を取得し、初めて車両の販売が認められます（図表3）。

図表3：UN-R155 自動車サイバーセキュリティ規則：適用スケジュール

なお適用スケジュールですが、2022年7月より遠隔ソフトウェア更新（Over The Air：OTA）機能を搭載する車両への適用が開始されました。欧州では、2024年までに全ての対象車両への適用が完了しています。日本も基本的には同様のスケジュールですが、OTA機能を搭載していない継続生産車両については、2026年までの猶予期間が設けられています。

また、日本では特筆すべき点として、レベル3以上の自動運転車については2020年から世界に先駆けてUN-R155の先行適用を開始しており、自動運転車のサイバーセキュリティ対策を重点的に推進してきました。

開発フェーズからみるCSMS対応の実践手法
具体的な規格の要求内容とは

次に開発プロセスに即した具体的なセキュリティ要求事項を整理しましょう。下図（図表4）は開発フェーズにおけるCSMS対応を示したものです。

図表4：開発フェーズにおける要求事項

UN-R155やISO/SAE 21434といった規格では、製品の開発から生産、市場での運用に至るまで、各フェーズで適切なセキュリティ対応を求めています。

特に開発初期のシステム設計フェーズ（図表4左側）では、セキュリティリスクの特定・評価と、それに基づいた対策の設計・実装プロセスの確立が重要です。

テストフェーズ（図表4右側）では、実装したセキュリティ対策の有効性を厳密に検証し、その結果を記録として残す必要があります。これにより、生産から市場投入後の対応まで一貫したセキュリティマネジメントが実現できます。

また市場投入後も車両本体だけでなく、モバイルアプリやクラウドサービスなどの周辺要素を含めた包括的なセキュリティ維持が求められます。製品価値を持続させるためには、ライフサイクル全体を見据えたセキュリティ対応が不可欠です。

組織横断的セキュリティガバナンスの構築戦略
実効性ある対応を実現するための管理と運営

では、各フェーズで求められるセキュリティ技術を実効的に支えるために必要な、組織横断的な体制とマネジメントの整備について解説します。自動車のサイバーセキュリティ対応では、個別の技術対策だけでなく、組織横断的なマネジメント体制の構築が不可欠です。

規制対応を単なる法的要件の充足ではなく、持続可能な競争優位性を確立する機会として捉えることが重要です。ここでは、効果的なセキュリティマネジメントシステムの構築に必要な要素を整理します。

図表5：サイバーセキュリティ対応の全体像

上図（図表5）はサイバーセキュリティの全体像です。企業に求められる対応は、図に示された3つの戦略的フレームワークに基づいています。

• 製品ライフサイクルを包含したセキュリティプロセスの整備
  UN-R155の規定にのっとり、企画から設計・開発、生産、市場対応に至る各段階で適切なセキュリティ施策を実施する。
• サイバーセキュリティの活動基盤となるITシステムとツールの整備
  情報の機密性・完全性・可用性（CIA三原則）を担保するため、開発・運用の全工程を支える堅牢な技術基盤を構築する。
• CSMSの構築
  セキュリティ活動の継続的な改善と維持を目的に、明確な組織体制と実効性のあるルールを整備する。

次からは図表5中に示された「①セキュア開発」「②サプライチェーン管理」「③組織とルールの整備」の各要素について詳しく解説します。

1.  セキュア開発─リスクアセスメントを起点とした安全な製品開発

前章で紹介した開発プロセスのとおり、サイバーセキュリティ対策は製品の企画段階から始まります。まず潜在的な脅威を体系的に特定し、リスク評価を実施した上で、具体的なセキュリティ要件を策定します。

設計段階では、多層防御アーキテクチャと安全設計原則を導入します。実装段階では、業界で検証済みの標準暗号モジュールを採用するとともに、脆弱性の継続的な監視・分析・対応の仕組みを組み込むことが重要です。またテスト段階では、実装したセキュリティ対策の有効性を厳密に検証し、その結果を監査可能な形式で文書化する必要があります。

なお製品リリース時には、これまでの全セキュリティ活動が適切に実施されたことを実証できる証跡を整備しておくことが必須です。このような証跡によって支持される論証はサイバーセキュリティケースと呼ばれ、開発プロセスの妥当性と製品の安全性を第三者に対して論理的に説明するための重要な根拠となります。

2. サプライチェーン管理

サプライチェーン管理は、自動車産業において喫緊の課題となっています。自社内のセキュリティ対策が万全であっても、委託先や部品調達先の中小規模サプライヤーが同等レベルのセキュリティ対応を実装できない場合、製品全体の安全性に深刻な脆弱性をもたらすリスクがあるからです。自動車メーカーには、主に以下2つの取り組みが不可欠です（図表6）。

図表6：サプライチェーン管理に不可欠な2つの取り組み

要件定義：セキュリティ要件の明確化

サプライヤーに対して求める製品・コンポーネントのセキュリティ仕様を、具体的な技術要件として明示的に定義し伝達することです。この段階では、リスクベースの製品分析を基に、脅威モデルに対応した要件を設定します。

責任定義：責任範囲の明確化

設定された要件を達成するための責任区分を明確にすることです。具体的には、自動車メーカーとサプライヤー双方の作業範囲、成果物の提出タイミング、検証方法、インシデント発生時の対応プロセスなどを詳細に規定します。

これらの合意事項は、開発プロジェクト開始前に「インターフェースアグリーメント（取り決め契約書）」として文書化し、両者で承認することが重要です。こうした形式的な合意プロセスを経ることで、サプライチェーン全体にわたるセキュリティの一貫性と追跡可能性を確実に担保できます。

3. 組織とルールの整備

実効性のあるサイバーセキュリティマネジメントシステムを確立するには、整合性のとれた組織体制とプロセスを体系的に文書化した社内規程の構築が不可欠です。

図表7：サイバーセキュリティ品質保証組織とルールの整備

一般的に、社内規程は図表7が示すようなピラミッド構造で整理されます。最上位の「基本方針（ポリシー）」では、全社的なセキュリティ方針と目標を明確にします。「規定（ルール）」では、具体的な達成事項と責任範囲を定めます。「手順書（プロセス）」では、業務の具体的実施方法を詳述します。

ここで、本題からやや視点を広げ、先進企業におけるセキュリティ組織モデルを紹介しましょう。

図表8：製品サイバーセキュリティ・ガバナンスモデル

図表8の組織体制は自動車業界に限定されるものではなく、主に欧米のセキュリティ先進企業で発展してきた組織体制モデルです。

左側のBISO（Business Information Security Officer）モデルは、経営トップ直下にCISO（Chief Information Security Officer：最高情報セキュリティ責任者）を配置し、さらに各事業部門にBISOを設置します。BISOは事業特性に即したセキュリティ施策を推進し、CISOと連携しながら現場レベルでのセキュリティガバナンスを担います。従来のIT中心のセキュリティから、ビジネス価値を創出するセキュリティへと進化した形態です。

一方、右側のCPSO（Chief Product Security Officer：最高製品セキュリティ責任者）モデルは、製品開発を行う企業、特にコネクテッド製品を提供する企業で採用が増えているモデルです。CISOと並列にCPSOを設置し、製品固有のセキュリティに特化した体制を構築します。自動車メーカーでは車両そのものの安全性を担保する組織として重要性が高まっています。各製品開発部門にセキュリティチームを配置し、中央にはProduct Security CoE（Center of Excellence：専門組織）を設けて技術支援を行う構造が特徴です。

これらの先行事例に見られる組織モデルは、自社の事業内容や規模に応じた体制構築を検討する上で有益な参考になります。重要なのは、形式的な枠組みにとどまらず、実効性あるセキュリティガバナンスを日常の業務運営にどう根付かせるかです。

どちらのモデルを採用するにしても、業界特性や企業規模に応じた適切なカスタマイズが必要です。これらの先行事例を参考にしながら、自社の事業環境に最適な体制を構築することが、実効性の高いセキュリティガバナンスを確立するための重要なステップとなるでしょう。

規制対応を競争力に変える戦略的アプローチ
実効性あるサイバーセキュリティ対応に向けた3要素とは

本稿では自動車のサイバーセキュリティに関わる規制・認証制度と、その対応方法について解説してきました。最後に、効果的な対応を実現する重要ポイントを整理します。

1.法規準拠計画：複雑化する国際規制の中から、自社製品に適用される要件を正確に特定し、優先順位を付けた対応ロードマップを策定します。UN-R155やISO/SAE 21434などの主要規制に対する具体的な適合計画が成功の基盤となります。

2.製品およびプロセス・仕組み・ツール：規制要件を実務レベルで実現する標準プロセス、運用の仕組み、支援ツールを整備します。特に開発ライフサイクル全体を通じたセキュリティ活動の一貫性と追跡可能性を確保することが重要です。

3.人材の確保と体制構築：最終的にはセキュリティ対策を担う人材が鍵となります。規制対応を実効性あるものとするには、専門人材の育成と、組織づくりを単なる手段で終わらせず、日々の運用にどう根付かせるかが問われています。

今後、自動車産業においてコネクテッド機能や自動運転技術がさらに発展する中、これらの基本要素を踏まえた体系的なサイバーセキュリティ対応は、製品の安全性確保と企業価値向上の両面で不可欠な経営課題となるでしょう。