TISAX認証取得支援サービス(Trusted Information Security Assessment Exchange)

自動車会社がセキュリティリスクに備える背景

世界の一大産業である自動車業界は、自動車エコシステムにおいて広範かつ複雑なサプライチェーンを有しており、この中でさまざまな情報システムやデータを扱っています。万が一、サプライヤー、ディーラー、あるいは自動車会社にサービスを提供しているベンダーなどでデータ漏えいなどのセキュリティインシデントが発生した場合、これがサプライチェーン全体に重大な影響を及ぼす可能性があります。このような状況において、日々高まりつつあるセキュリティリスクに対して、取引先企業がセキュリティ対応を講じているかどうかは、自動車会社にとって重要な確認事項になっています。

このような状況の中、ドイツ自動車工業会(VDA)は、会員企業における情報セキュリティの保護水準を引き上げるために、国際基準ISO 2700xの要件達成を要求しています。その中で、VDAは、達成すべき基準となるVDA情報セキュリティ評価基準(以下「VDA ISA」)を策定しました。2017年にはENX(European Network Exchange)と協力し、TISAX(Trusted Information Security Assessment Exchange)を確立しました。

TISAXは、ドイツの自動車業界において広く採用されるセキュリティ評価の仕組みであり、自動車会社は取引先に対して、この基準に基づいて外部の審査機関による監査を受けることを求めています。この審査認証結果は、ENXの情報交換ネットワーク上に登録、公開されます。このため、サプライヤーが各自動車会社から個別にセキュリティ管理状況に関する問い合わせを受け、対応する労力を減らせるようになりました。

TISAXの認証ステップ

VDAはENXと提携して、資格認定要件を満たす審査機関(※)を指定し、監査人の権限を付与しています。これらの審査機関が、TISAXの認証を受けたい企業に対して審査を行い、基準を満たす場合にTISAX認証の報告書を発行しています。

(※)2020年10月時点で、審査機関は11社

TISAXの評価は以下の4ステップにて実施します。

  1. 評価準備
    企業は、VDA ISAに従い、会社の現行の情報セキュリティと情報システム管理制度の成熟度を精査(自己評価)し、TISAX認証事前準備作業を行う。
  2. 監査範囲の検討および審査機関の選定
    自動車会社の要求に基づいて、認証が必要な範囲とアセスメントレベルをENX Portalサイトに登録する。登録完了後、ENXから「TISAX Scope Excerpt」ファイルが返送されるので、これを審査機関に提示して見積もりと提案を依頼し、審査機関を決定する(審査機関は「TISAX Scope Excerpt」の内容に基づいて提案を行う)。
  3. 審査期間による審査
    審査機関は、自動車会社から要求された、会社の認証範囲とアセスメントレベルに基づき、関連する審査を実施する。
  4. 審査結果の登録、公開
    企業は、審査結果をTISAXプラットホーム上に公開する。公開後は、TISAXのその他参加者がENXネットワーク上で審査結果にアクセスし、内容をレビューできる。

図表3で示すように、企業がENX Portalに登録した時点で審査開始となりますが、初期評価から改善対応を経て、TISAX認証を取得するまでの一連のプロセスは、9カ月以内に完了する必要があります。このため、現状のセキュリティ管理態勢が要求事項を満たさないと想定される場合は、ENXへの登録前に初期評価を実施して問題点を洗い出し、不合格となる可能性がある項目の改善対応を進めた上で本審査に臨むなど、綿密な計画、スケジュール設定が必要です。

TISAX認証の有効期間は3年間です。認証を更新する場合は、企業は期間内に再度、審査機関による審査を受ける必要があります。

なお、現時点では自動車会社の中には新規取引先となる企業や、新規業務の取引に際して、TISAX認証を必須要件としている会社もあります。また、既存の取引先についても、TISAXの認証取得を求めるケースがあります。

現在、ドイツの自動車会社が、サプライヤーに対してTISAXの認証取得を要求し始めています。フォルクスワーゲンはサプライヤーに対し、新規取引時や自社とデータを交換する可能性がある場合には、TISAXの認証取得を義務付けています。また、他のドイツの自動車会社も、サプライヤーへのTISAX認証取得の要求を予定しています。

認証取得支援サービス

PwC Japanを選定することによるメリット

PwCのグローバルネットワーク内にTISAX認証機関を有する:PwC Japanは、PwCドイツのPwCのグローバルネットワーク内にTISAX認証機関を有するPwC Certification Services GmbHと協力して、貴社のプロジェクトの準備作業、自己評価、問題発見・改善と最終認証審査の全過程をサポートします。

豊富な業界経験を有する:私どもPwC Japanは、自動車業界内で豊富な経験と深い見識を有し、大手自動車会社を対象とした多数のプロジェクトの成功実績がございます。

PwCのグローバルリソースを活用できる:私どもPwC JapanはPwCのグローバルネットワークのメンバーファームです。PwCは、世界的な専門ファームとして、経験豊富なセキュリティチームを有し、世界各地に多数のITリスクや情報セキュリティ専門家、ならびにTISAXの本拠地であるドイツに深い見識を持つ専門家を配置しています

TISAX認証を受けるサプライヤーの拠点が日本にある場合は、日本のPwCが審査を実施し、ドイツのPwC Certification Services GmbH(以下「PwC Cert」)にその結果を伝えます。PwC Certは、この審査結果に基づき、サプライヤーが、事前に決定したスコープとアセスメントレベルについて、VDA ISAを満たしていることを確認した上で、TISAX認証の証明書を発行します。


インサイト/ニュース

20 results
Loading...

航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―

航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。

医薬品の安定供給を支える、OTセキュリティ実装の道筋とは

近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。

望ましいサイバーセキュリティの未来(銀行業界編)

スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。

Loading...

主要メンバー

加藤 俊直

パートナー, PwC Japan有限責任監査法人

Email

道輪 和也

ディレクター, PwCコンサルティング合同会社

Email

小滝 健一

シニアマネージャー, PwC Japan有限責任監査法人

Email

We unite expertise and tech so you can outthink, outpace and outperform
See how