自動車サイバーセキュリティ:コネクテッドカーのセキュリティ対策は万全か?

自動車メーカー各社はコネクテッドカーを求める消費者の声に応えようと本格的に動き出していますが、「つながること」によって生じるサイバーリスクへの対応が十分ではない企業もあります。

本レポートは、2018年5月にPwC米国法人で発刊された『Cyber readiness: are auto companies prepared to counter the risk of an attack?』[English]の日本語訳版です。本レポートでは、自動車をめぐるサイバー脅威とその対応について、米国の専門家が見解を示しています。これらの見解を、貴社における自動車セキュリティ管理態勢の高度化にぜひお役立てください。

利便性の高まりとリスクの増大

自動車業界は大きな転換期を迎えています。インターネット接続が当たり前となったいま、プライバシー、そして安全性が脅かされるリスクは増大しています。

防御の甘さは、2015年に2人のセキュリティ研究者がインターネット経由で車両をハイジャックしてみせた事実からもうかがい知れます。このハイジャックでは、ハンドルを回し、短時間とはいえブレーキを無効にし、エンジンをオフにすることに成功しました。この結果の意味するところは明らかであり、直ちに問題視されました。その3年後にあたる現在、インターネットベースの自動車はさらに増え、ハイジャックのリスクは爆発的に増大しています。消費者はつながることで得た利便性に慣れきっており、この傾向に変わりはなさそうです。ただし利便性が高まれば、その分リスクも大きくなります。一般的に現在のセキュリティ保護策は、新たなリスクへの備えとして十分であるとはいえません。

企業にとってのサイバーリスク

自動車の安全性は、全ての本番プラットフォーム、内部運用、サプライチェーンを横断してサイバー防御を統率する全社規模のプログラムによって支えられていなければなりません。一つの領域に弱点があれば、それが他の領域にも広がり、車両故障、工場の停滞、顧客データのハッキング、知的財産の窃取などにつながる恐れがあります。明らかな侵入口として狙われるのは、工場機械、3Dプリンティング、自動車金融部門、サプライチェーンです。

サイバーセキュリティへの包括的かつ階層型のアプローチ

サイバーレジリエンスを備えた企業は、予防、検知、対応、フィードバックの仕組みを含めて、サイバー攻撃に対抗するための包括的なアプローチを開発しています。サイバー脅威から企業を守るための業界のベストプラクティスをまとめます。

最高責任者レベルの協力を得てセキュリティ文化を醸成する

他の重大リスクと同様に、最高責任者レベルの幹部や取締役会の協力を得て、セキュリティの予算を確保し、企業全体でセキュリティ文化を醸成することが求められます。全従業員が共通のセキュリティ認識を持ち、サイバー攻撃を防止するための各自の役割と責任を理解しなければなりません。侵入は組織のどこでも起こる可能性があり、一カ所での怠慢が他の部分にも影響を及ぼしかねません。上層部の姿勢、教育、人事ポリシーを通じて、セキュリティポリシーとサイバーリスクに関する認識の強化を企業文化に取り入れる必要があります。

View more

資産と脅威の優先順位を設定する

全ての資産を保護しようとすればコストがかさむため、高価値の資産を絞り込んで徹底的に保護することが望ましいです。また、現在および数年後の未来の脅威、害をもたらす可能性の高い攻撃者を分類し、優先順位を設定することも必要です。脅威情報サービスを利用して業界の最新の脅威を把握し、セキュリティオペレーション手順に反映させている企業もあります。

View more

プロセスを定義し、統合する

明確に定義されたプロセスがあれば、インシデントの検知から対応までの時間を短縮できます。財務、運用、ブランドがリスクにさらされる度合い、侵入されたシステムの数や種類に基づいて潜在的影響を段階的に分類したマトリクスを作成し、内外の関係者への通知計画をはっきりさせておきます。また、侵入とは関係なく内外の事象によって起こる誤検知を判別できる感知および分析機能も導入します。

View more

サイバーセキュリティ中核チームのベストプラクティスに従う

ベストプラクティスとして、インシデント対応にかかわる三つの重要部門(情報またはサイバーセキュリティ、法務、企業広報)の常任委員でワーキンググループを作ります。このグループ内で対応のための調整役を担うリーダーを1人選出し、チームメンバーの間での混乱、遅れ、伝達不足を防止します。

View more

サプライチェーンのリスクに対応する

自動車企業はパートナーの事業運営において潜在的なセキュリティ侵害が発生していないかどうかを監視し、各種システムへのユーザーアクセスを管理する必要があります。小規模ベンダーはセキュリティ手続きが緩い傾向があり、特殊なリスクをもたらすことから、監査条項と義務付けられたテスト手順を盛り込みます。

View more

先進のツールやテクノロジーに投資する

ますます巧妙化する脅威主体および媒介に対抗するとともに、重要な企業データが組織やサプライチェーンを通して流出するリスクを低減するには、最新のテクノロジーが必要とされます。クラウドを活用したサブスクリプションベースのサービスの機能やインフラストラクチャーを利用するのは、そのための一つの方法です。このようなサービスでは、リアルタイムのアップデートにより情報を集約し、最新かつ動的な防御を維持します。ただし、各組織固有の運用環境に適したツールを展開し、設定することも同様に重要です。

View more

主要メンバー

林 和洋

パートナー, PwCコンサルティング合同会社

Email

村上 純一

シニアマネージャー, PwCコンサルティング合同会社

Email

奥山 謙

マネージャー, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

Contact us

Follow us