担当PwC専門家
Joachim Mohs
Partner and Global Industrial Manufacturing & Automotive Cyber Security & Privacy Lead at PwC Germany
Tel: +49 40 6378-1838
E-Mail
現在、自動車業界は激動期を迎えています。新たな運転方法と車両コネクティビティの向上は、OEMやサプライヤーに新たなビジネスモデルをもたらしています。OEMやサードパーティプロバイダーによる数々の新たなデジタル機能やサービス提供に伴い、自動車は単なる移動手段から、生活・仕事空間へと進化しつつあるのです。
こうした変化は、車両のエコシステムにも多大な影響をもたらします。このエコシステムのセキュリティと機能性を確保し、積極的に管理することが、全てのユーザーの健康・安心を守り、OEMの業績向上にもつながるのです。例えば、DoS攻撃によって自動車線維持補助装置が妨害された場合、乗員だけでなく、非コネクテッドカーや、歩行者、その他の道路利用者にも危険をもたらします。
こうした状況により、自動車業界は、レジリエントなサイバーセキュリティマネジメントシステム(CSMS)を用いてリスクを最小化するよう強く求められています。PwCは、『2022年グローバル自動車CSMS調査』において、OEMやサプライヤーがこれらのシステムをどの程度実装しているのか、今後さらにどのような取り組みを行っていく必要があるのかについて調査しました。
調査の結果、得られた重要な知見は以下のとおりです。まず成熟度に関しては、CSMSプロジェクトごとにかなりのばらつきがあります。CSMS実装までの期間は平均30カ月に及ぶことを考えると、行動へのプレッシャーも高まっています。実装が十分に進んでいない企業は、契約上・法的義務に対応すべく、早急な行動を迫られています。CSMSは今後、デジタルエコシステムのバリューチェーン全体を保護するとともに、業務コストに大きな影響をもたらし、コンプライアンスの確保にもつながるものであるため、自動車業界にとってビジネスの命運を左右する課題として急速に浮上しつつあります。
しかし、CSMSはデジタルトランスフォーメーション(DX)の成功に向けた道のりの一里塚に過ぎないことも確かです。自動車業界の企業は、自社のサイバー取り組みをよりネットワーク化し、サイバーセキュリティを企業運営の中核に組み込み、サイバーリスクマネジメントを企業のリスクマネジメントと統合する必要があります。DX戦略は、純粋な規制対応プロジェクトにおいても指針としていかなければなりません。
「CSMSは、コネクテッドカーを守る土台となるものです。乗員の安全を確保するだけでなく、OEMのデジタルエコシステムをターゲットにした攻撃のリスクも低減できます」
自動車業界全体の実装状況を把握するため、同業界のさまざまな分野における代表者にインタビューを行いました。対象者には、OEMやサプライヤーの専門家だけでなく、実績ある市場専門家が含まれます。回答者全員が、コネクテッドカーと自動車エコシステム全体に対するサイバー攻撃は増加する、と答えました。欧州経済委員会(UNECE)は最近、こうした展開に対応し、独自の規制(国連規則155号)を設けました。OEMに対して、保有する車両のサイバーセキュリティを監視・管理するためにフル機能の監査済みCSMSの実装を義務付けています。2022年7月以降、新型車種を登録するためには、監査済みCSMSを国の登録機関に提示しなければなりません。そして2024年7月以降は、新型車の生産に監査済みCSMS提出が義務付けられます。こうした取り組みが新型車両の安全性を長期的に保証するために必要な措置であることは、ほぼ全ての調査参加者が同意しています。
OEMの代表者全員がCSMSを実装済みと答えましたが、回答者の大部分がまだ本格的な運用に至っていません。しかし、回答者の約3分の2が、すでに監査サービス組織によるCSMS設計の監査を受けていました。国連規則155号のような規則の影響を直接被るのはOEMですが、個々の部品の安全性に関するOEMの影響力は限られています。OEMの75%が、契約上の仕様というかたちで、こうした部品をサプライヤーに外注しているからです。これを裏付けるように、多くのサプライヤーが、顧客からCSMSに関する契約上の要件を提示されている、と回答しています。サプライヤーにとって、CSMSの実装が競争上の優位性になることは明らかであるものの、初期フェーズを完了したのは平均59%と、未だOEM(71%)に遅れをとっている状態です。特に国際市場では統一規格がないため、企業は頭を悩ませています。
今後、OEMとサプライヤー双方が、セキュリティマネジメントシステムの成熟度と統合度を高めるべく一層の努力を重ねなければならないことは明らかです。基本となるのはユーザーのセキュリティ確保ですが、コネクテッドカーを取り巻くデジタルエコシステム全体についても、攻撃から防御する必要性が高まっていくでしょう。OEMが確固たる一歩を踏み出すための新たなビジネスモデル開発を促進するのは、やはりこれらのサービスなのです。
多くのグローバル市場において、OEMが適切なCSMSを実証できなければ新型車種を登録できなくなる恐れがあります。
CSMSプロジェクトの実施が長期間に及ぶことを考えると、OEMおよびサプライチェーン企業は、今後の指令に備えるためにも、直ちに行動を開始すべきです。そのためには、法的要件を検討し、契約の含意を十分に把握することが必要となります。
規制対応プロジェクトは、常に事業変革戦略に沿って進めるべきです。規制要件を総合的に考え、純粋なビジネスモチベーションと組み合わせた企業だけがDXを巡る競争に勝利できるのです。
厳しいコスト的・時間的制約があることを踏まえ、企業は既存のマネジメントシステムの仕組みを上手く活用してCSMSを設計・実装すべきです。標準化されたツールとプロセスを用いることで、複雑さを大幅に軽減することが可能です。
リスクを早期に特定するために、CSMSの成熟度を常に評価し、その結果を経営層や関連ビジネスパートナーを含むステークホルダーに詳らかにして、開発プロセスへの意見を求めるべきです。
システムの運用が効果的かつリソースの効率的活用が可能か検証するために、企業はCSMSの開発後に大規模なトライアルを行うべきです。
OEMとサプライヤーのソフトウェアをセキュアに統合するために、OEMは、ソフトウェアアーキテクチャ要件を明確に定め、それを自社のバリューチェーンに組み入れるべきです。
「自動車OEMは今や、機械メーカーと並び、『ソフトウェアメーカー』あるいはネットワーク接続されたエンドデバイスの『プロバイダー』となりつつあります。したがって、高いサイバーセキュリティ成熟度が、明確な競争上の優位性を生み出すのです」
PwC『2022年グローバル自動車サイバーセキュリティマネジメントシステム(CSMS)調査』では、主に製品セキュリティ、研究開発、品質保証、情報セキュリティを担当する自動車OEM、サプライヤーおよび市場専門家の代表者にインタビューを行いました。インタビューは、2022年3月から4月にかけて、60分間のオンラインアンケート形式で実施しました。回答者の39%がOEM、35%がサプライヤー、残りの26%が市場専門家でした。回答者の大部分が管理職レベル(78%)で、専門家レベルが13%、一般社員レベルが9%でした。回答者の拠点は、11カ国(オーストリア、チェコ、フィンランド、フランス、ドイツ、イタリア、日本、韓国、スウェーデン、英国、米国)に及びます。全ての調査結果は匿名化し、図表で用いるために数値を四捨五入しています。
※本コンテンツは、PwC's Global Automotive Cyber Security Management System (CSMS) Survey 2022を翻訳したものです。翻訳には正確を期しておりますが、英語版と解釈の相違がある場合は、英語版に依拠してください。
自動車に関する国際法規であるWP29 UNR155に適合するため、車両OEMとサプライヤーは、適切なサイバーセキュリティ要件を導出し、それを満たす製品を開発することが求められています。PwCが提供する「WP29 Cyber Security Management System(CSMS)支援プラットフォーム」は、セキュアな製品開発において最も重要である脅威分析を効率的に実施するためのウェブツールであり、脅威や攻撃に関する最新の情報を提供します。
車両のデジタル革命によって、次世代のモビリティ社会が形作られる一方で、各国の政策や規制により変化の速度が決定されている面があります。その要因の一つがサイバーセキュリティへの懸念です。
車両サイバーセキュリティに関する国際規格や製品ライフサイクルにおける重要論点の解説やクライアントとの対談を通じ、車両サイバーセキュリティの将来をひもときます。
Download PDF -
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
Download PDF -
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
Download PDF -
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
Download PDF -
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。
