ENX（European Network Exchange Vehicle Cybersecurity）VCS認証取得支援サービス

自動車OEMがセキュリティリスクに備える背景とその必要性

世界の一大産業である自動車業界は、「100年に1度の大変革期」と表現されるほどの大きな変化の時期を迎えています。自動車のデジタル化やコネクティッド化が進むことで、情報セキュリティやデータ保護といった新たな課題に対する対応は、自動車OEMだけでなく、サプライヤーに対しても必要になってきています。そこで、自動車業界全体の連携の実現と加速を目的として、欧州の自動車OEMを中心にENX（European Network Exchange）Association（以下「ENX」）が設立されました。ENXは、企業が使用する重要な開発、購買、生産管理データなどを安全に交換するネットワークであるENX Networkやドイツの自動車業界において広く採用されるセキュリティ評価の仕組みであるTISAX（Trusted Information Security Assessment Exchange）を確立するなど、自動車業界の信頼の拠り所として活動してきました。

昨今では、国連欧州経済委員会（United Nations Economic Commission for Europe）の自動車基準調和世界フォーラム（WP29）において、車両のサイバーセキュリティおよびサイバーセキュリティ管理システム（CSMS）を定めた国連標準規則であるUnited Nations Regulation No.155（UN-R155）が策定され、サプライヤーは適合のガイドラインであるISO/SAE 21434に沿ったCSMSの整備とその定期的な監査が求められています。このような背景とニーズを受けて、ENXは、自動車業界全体に利益をもたらす、標準化されたCSMS監査スキームを提供することを目指し、2024年6月からENX Vehicle Cybersecurity（ENX VCS）プロジェクトを開始しています。

ENX VCSは、ISO/SAE 21434（Cybersecurity Management System Framework）に基づく第三者監査スキームであり、サプライヤーはISO/SAE 21434に準拠したサイバーセキュリティ管理システム（CSMS）の導入を証明することができます。また審査結果は、ENXのネットワーク上に登録、公開することができます。そのためサプライヤーは、各自動車OEMから個別にセキュリティ管理状況に関する問い合わせへ対応する労力を減らせます。現在、欧州の自動車OEMが、サプライヤーに対してENX VCSの認証取得要求の検討を始めており、今後サプライヤーに対応が求められることが予想されます。

ENX VCSの概要

ENX VCSは、自動車OEMが、パーツを供給するサプライヤーや、自動車OEMが利用するサービスを提供するサービスプロバイダーに対し、車両ライフサイクル全体を通じて、車両およびサプライチェーンにおける一貫性、継続性のあるCSMSの整備を求めるものです。

ENX VCSの確認項目の概要については、PwCコンサルティング「TISAXの対象範囲の広がり―TISAX VCS 車両サイバーセキュリティ TISAX VCSの概要」を参照ください。

ENX VCSの認証ステップ

ENXは、資格認定要件を満たす審査機関^*1を指定し、監査人の権限を付与しています。これらの審査機関が、ENX VCS認証を受けたい企業の審査を行い、基準を満たす場合にENX VCS認証の報告書を発行します。

ENX VCSの評価は以下の4ステップにて実施します。

1. 評価準備
   企業は、VCSAカタログ^*2に従い、現行のCSMSの成熟度を精査（自己評価）し、事前準備作業を行う。
2. 監査範囲の検討および審査機関の選定
   自動車OEMの要求に基づいて認証が必要な範囲を決定し、審査機関に提示の上、見積もりと提案を受領後、審査機関を決定する。
3. 審査期間による審査
   審査機関は、自動車OEMから要求された認証範囲に基づき、審査を実施する。
4. 審査結果の登録、公開
   サプライヤーは、審査結果をENX VCSポータル上に公開する。公開後、ENX参加者はネットワーク上で審査結果を確認できる。

図表1：ENX VCSの認証フロー

現状のセキュリティ管理態勢が要求事項を満たさないことが想定される場合は、審査前に事前評価を実施して問題点を洗い出し、不合格となる可能性がある項目の改善対応を進めた上で審査に臨むなど、綿密な計画、スケジュール設定が推奨されます。

ENX VCS認証の有効期間は3年間です。認証を更新する場合は、期間内に再度、審査機関による審査を受ける必要があります。

認証取得支援サービス

PwCコンサルティングは、ENX VCSの認証取得を、初期評価から取得、再検証まで総合的に支援します。

図表2：PwCコンサルティングのENX VCS認証取得に対する支援内容

PwCを選定することによるメリット

多数のTISAX認証取得支援実績を有する

PwCコンサルティングは、サプライヤーに対する豊富なTISAX認証取得の成功実績を有し、TISAX認証スキームへの十分な理解に基づく提言や情報提供が可能です。

製品・IoTセキュリティに関する豊富な経験・実績を有する

PwCコンサルティングは、製品・IoTセキュリティに関する専門チームを有し、自動車業界はもちろん、その他多様な製造業界に対する豊富な支援経験と多数のプロジェクトの成功実績があります。

PwCのグローバルリソースを活用できる

PwCコンサルティングはPwCのグローバルネットワークのメンバーファームです。PwCは、世界的なプロフェッショナルサービスファームのネットワークとして、経験豊富なセキュリティチームを有し、世界各地に多数のデジタルリスクやサイバーセキュリティの専門家、ならびにENX VCSの本拠地であるドイツに深い見識を持つ専門家を配置しています。

参照元URL

^*1：2025年5月時点で審査機関は6社。
ENX VCS審査機関
https://www.enx.com/en-US/VCS/vcs-xap/

^*2：ENX VCS 1.1 EN.XLSX（2025年5月時点での最新版）https://portal.enx.com/en-US/VCS/downloads/