
航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
世界の一大産業である自動車業界は、自動車エコシステムにおいて広範かつ複雑なサプライチェーンを有しており、この中でさまざまな情報システムやデータを扱っています。万が一、サプライヤー、ディーラー、あるいは自動車会社にサービスを提供しているベンダーなどでデータ漏えいなどのセキュリティインシデントが発生した場合、これがサプライチェーン全体に重大な影響を及ぼす可能性があります。このような状況において、日々高まりつつあるセキュリティリスクに対して、取引先企業がセキュリティ対応を講じているかどうかは、自動車会社にとって重要な確認事項になっています。
このような状況の中、ドイツ自動車工業会(VDA)は、会員企業における情報セキュリティの保護水準を引き上げるために、国際基準ISO 2700xの要件達成を要求しています。その中で、VDAは、達成すべき基準となるVDA情報セキュリティ評価基準(以下「VDA ISA」)を策定しました。2017年にはENX(European Network Exchange)と協力し、TISAX(Trusted Information Security Assessment Exchange)を確立しました。
TISAXは、ドイツの自動車業界において広く採用されるセキュリティ評価の仕組みであり、自動車会社は取引先に対して、この基準に基づいて外部の審査機関による監査を受けることを求めています。この審査認証結果は、ENXの情報交換ネットワーク上に登録、公開されます。このため、サプライヤーが各自動車会社から個別にセキュリティ管理状況に関する問い合わせを受け、対応する労力を減らせるようになりました。
TISAXは、自動車会社が、パーツを供給するサプライヤーや、自動車会社が利用するサービスを提供するサービスプロバイダーに対し、自社の重要データを含む重要情報資産に関する情報セキュリティの確保を求めるものです。対象範囲は、一般的な情報セキュリティ管理に加えて、プロトタイプに関するデータや顧客情報などの個人データにも及びます。
TISAXでは、以下図表1のように8項目のアセスメント目的が定義されており、評価に際しては、セキュリティの対象となる「アセスメント目的」を、自動車会社からの要請に基づいて決定する必要があります。
アセスメント目的 |
略称 |
AL |
|
1 |
高度な保護レベルが必要な情報 |
Info high |
AL2 |
2 |
非常に高度な保護レベルが必要な情報 |
Info very high |
AL3 |
3 |
一般データ保護規則(GDPR)に基づくデータ保護 |
Data |
AL2 |
4 |
一般データ保護規則(GDPR)が定義する特殊なカテゴリの個人データに関するデータ保護 |
Special data |
AL3 |
5 |
試作品の保護 |
Proto parts |
AL3 |
6 |
試作車の保護 |
Proto vehicles |
AL3 |
7 |
テスト走行の保護 |
Test vehicles |
AL3 |
8 |
イベント・撮影時の試作品保護 |
Events + Shootings |
AL3 |
このうち、情報管理(No.1または2)は、情報セキュリティ管理プロセスと成熟度を確定する基本モジュールとして必須であり、残りのモジュールは審査対象者の状況や自動車会社からの要請に応じて審査範囲に組み入れるかどうかが決定されます。
また、保護レベルが高度になるに従い、審査機関によるアセスメントも、より深度のあるものとなります。TISAXでは、このアセスメントレベル(AL)を以下図表2のように3段階で定義しています。
AL |
概要 |
AL1 |
内部利用目的の自己評価。監査人は、自己評価が実施された事実のみを確認し、内容は評価しない、または審査に関与しない。このため、AL1の結果はTISAXとしては用いられない。 |
AL2 |
監査人は、自己評価の妥当性を、電話会議や証跡の査閲を通して確認するが、現地往査は実施しない(アセスメント目的に試作品の取り扱いが含まれる場合は、現地往査(AL3)が必要)。 |
AL3 |
監査人は、自己評価の結果について、証跡や対面でのインタビュー、現地往査を通して、より詳細かつ網羅的に確認する。 |
VDAはENXと提携して、資格認定要件を満たす審査機関(※)を指定し、監査人の権限を付与しています。これらの審査機関が、TISAXの認証を受けたい企業に対して審査を行い、基準を満たす場合にTISAX認証の報告書を発行しています。
(※)2020年10月時点で、審査機関は11社
TISAXの評価は以下の4ステップにて実施します。
図表3で示すように、企業がENX Portalに登録した時点で審査開始となりますが、初期評価から改善対応を経て、TISAX認証を取得するまでの一連のプロセスは、9カ月以内に完了する必要があります。このため、現状のセキュリティ管理態勢が要求事項を満たさないと想定される場合は、ENXへの登録前に初期評価を実施して問題点を洗い出し、不合格となる可能性がある項目の改善対応を進めた上で本審査に臨むなど、綿密な計画、スケジュール設定が必要です。
TISAX認証の有効期間は3年間です。認証を更新する場合は、企業は期間内に再度、審査機関による審査を受ける必要があります。
なお、現時点では自動車会社の中には新規取引先となる企業や、新規業務の取引に際して、TISAX認証を必須要件としている会社もあります。また、既存の取引先についても、TISAXの認証取得を求めるケースがあります。
現在、ドイツの自動車会社が、サプライヤーに対してTISAXの認証取得を要求し始めています。フォルクスワーゲンはサプライヤーに対し、新規取引時や自社とデータを交換する可能性がある場合には、TISAXの認証取得を義務付けています。また、他のドイツの自動車会社も、サプライヤーへのTISAX認証取得の要求を予定しています。
PwCのグローバルネットワーク内にTISAX認証機関を有する:PwC Japanは、PwCドイツのPwCのグローバルネットワーク内にTISAX認証機関を有するPwC Certification Services GmbHと協力して、貴社のプロジェクトの準備作業、自己評価、問題発見・改善と最終認証審査の全過程をサポートします。
豊富な業界経験を有する:私どもPwC Japanは、自動車業界内で豊富な経験と深い見識を有し、大手自動車会社を対象とした多数のプロジェクトの成功実績がございます。
PwCのグローバルリソースを活用できる:私どもPwC JapanはPwCのグローバルネットワークのメンバーファームです。PwCは、世界的な専門ファームとして、経験豊富なセキュリティチームを有し、世界各地に多数のITリスクや情報セキュリティ専門家、ならびにTISAXの本拠地であるドイツに深い見識を持つ専門家を配置しています
TISAX認証を受けるサプライヤーの拠点が日本にある場合は、日本のPwCが審査を実施し、ドイツのPwC Certification Services GmbH(以下「PwC Cert」)にその結果を伝えます。PwC Certは、この審査結果に基づき、サプライヤーが、事前に決定したスコープとアセスメントレベルについて、VDA ISAを満たしていることを確認した上で、TISAX認証の証明書を発行します。
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。
PwCコンサルティング合同会社は、6月17日(火)に表題イベントを対面で開催します。
PwC Japanグループは、5月19日(月)より表題のセミナーをオンデマンド配信します。
PwCコンサルティング合同会社は1月27日(月)より、表題のセミナーをオンデマンド配信します。
PwCコンサルティング合同会社は10月29日(火)より、表題のセミナーをオンデマンド配信します。