自動車業界の技術戦：米国の対中・対露禁輸措置が引き起こす大混乱

米国は過去10年の間、中国やロシアなどの外国の敵対勢力にデータ流出を規制するための措置を密かに講じてきました。また、これらの国々の情報通信技術（ICT）を接続デバイスに使用することを制限する取り組みも進めています。

こうした措置を取る背景には、国家安全保障があります。データへのアクセスや接続技術（例：IoT）を制御することは、敵対勢力にとってサイバースパイ活動を行ったり、重要なインフラを攻撃したりするための手段となり得ます。近年、輸入されたハードウェアやソフトウェアに隠された「バックドア」が発見されるケースが相次いでおり、ハッカーがこれを利用して米国内のさまざまな活動を密かに監視し、データを収集していることが明らかになっています。

この地政学的な技術戦における最新の動きとして、ICTの規制が自動車業界にも拡大されました。2025年1月14日、米国商務省は、中国およびロシアを原産とするコネクテッドカーのハードウェアおよびソフトウェアの販売・輸入を禁止する最終規則を発表しました。この規則は、2027年モデルの車両から適用されます。

では、この課題は米国市場で車両を販売するOEMにとってどういう意味があるのでしょうか？ 現時点では不明なことが多くありますが、明確なことが１点あります。それはOEM各社が、この連邦政府の規則にどのように対応するのか、今すぐに検討を始める必要があるということです。

コネクテッドカーをリスクと考える理由

規制当局によると、車両のコネクティビティ技術や自動運転システムに統合されたソフトウェアは、外部からの信号に対して脆弱であるとされています。これらの技術が「中国またはロシアによって設計、開発、製造、または供給された場合、非常に深刻で、容認できない国家安全保障上のリスク」をもたらすと指摘しています。

例えば、現在、多くの車両には複数のカメラが搭載されています。運転中、車両は周囲の映像を記録し、言い換えればリアルタイムで都市の地図を作成しているのと同じ状態になります。この情報が中国のクラウドに転送されると、中国政府はそのデータすべてにアクセスできるようになり、事実上あなたの車が偵察ツールへと変わってしまう恐れがあります。さらにソフトウェア・デファインド・ビークルは、ドライバーや所有者の個人情報を含む機密データを収集しており、これらの情報が外国の敵対勢力によって悪用されるリスクも懸念されています。

これらのリスクに加えて、現在の自動運転システムやADAS（先進運転支援システム）は、ハッカーが遠隔操作で車両を操ることを可能にするサイバー攻撃に対して脆弱である恐れがあります。外国の敵対勢力が悪意を持って大規模な車両フリートを乗っ取った場合、どのような深刻な事態が引き起こされるか想像してみてください。

規則はどうなっているのか

詳細を見ていきましょう。今回の新たな規則は、乗用車の車両コネクティビティシステム（VCS）および自動運転システム（ADS）に重点が置かれています。この規則により、中国やロシアに関連する企業が提供するハードウェアやソフトウェアを搭載したコネクテッドカー、またはそのようなコンポーネントを組み込んだ車両の販売や輸入が禁止されます。

ソフトウェアに関しては、この規則はオペレーティングシステム、ミドルウェア、アプリケーションソフトウェア、バックエンドシステムまで幅広く対象としています。ただし、ファームウェアやオープンソースソフトウェアは適用除外となります。ソフトウェア関連の禁止措置は2027年モデルの車両から適用され、ハードウェア関連の禁止措置は2030年モデルの車両から施行されることになります。

OEMは、本規則への適合を証明する「適合宣言（Declarations of Conformity）」を毎年提出することが義務付けられます。この宣言には、VCSのハードウェアおよび対象となるソフトウェアに関する詳細情報が必要で、さらに適正評価手続き文書も求められます。

自動車サプライチェーン全体に及ぶOEMへの巨大な影響

この措置によって影響を受けるのはどこでしょうか？

この規則の対象となるのは、米国市民または永住権を持たない中国またはロシアの市民や居住者です。つまり、キプロス在住のロシア人フリーランスのソフトウェアエンジニアが、サードパーティの車両サプライヤー向けにソフトウェアを開発する場合も、問題になる恐れがあるということになります。

企業レベルでは、さらに複雑な問題が生じます。 所有権、法的管轄、株主構成、または取締役会の構成を通じて、中国またはロシアから直接または間接的な影響を受ける可能性のある企業は、この規則の適用対象となります。例えば、ボルボ・カーは中国の持株会社によって所有されています。2027年にこの規則に適合するため、ボルボは所有構造や市場戦略の見直しが必要になるのではないでしょうか。

現在、多くのOEMが100社以上のベンダーからソフトウェアコンポーネントを調達・統合しているという事実を踏まえると、これらの規則がOEMおよびそのサプライヤーに及ぼす商業的影響は非常に大きなものとなります。

やってみないとわからないことだらけ

ここで問題の核心に迫ります。前述のとおり、すべてのコネクテッドカーは、中国またはロシア由来のコンポーネントを含まないとする適合宣言（Declaration of Conformity）を提出する必要があります。さらにOEMはこの宣言を裏付ける証拠を提出しなければなりません。では、どのようにして適合性を証明すればよいのでしょうか？

難しいのは、車両アーキテクチャ内の該当コンポーネントを特定することです。一般的な車両には50以上のECUが搭載されており、各ECUには、多くのサプライヤーから提供された数十ものソフトウェアライブラリが組み込まれています。さらに自動車のサプライチェーンは非常に複雑であり、OEMやTier 1サプライヤーであっても、下流のサプライヤーから受け取るコンポーネントに含まれるソフトウェアの詳細な構成を完全に把握していないケースが多いのが現状です。

多くの場合、問題の原因となるコンポーネントはサプライチェーンの奥深くに埋もれている可能性があります。UNR 155で義務化されているソフトウェアの脆弱性スキャンと同様に、OEMは外国の敵対勢力によって開発されたソフトウェアを特定するための高度なツールを導入する必要があるでしょう。問題となるコンポーネントが特定され、報告されれば、OEMはサプライヤーに対して問題のあるソフトウェアを含まない更新版の提供、または別の代替品の提供を求めることが可能になります。

この問題の複雑さを説明するために次の例を考えてみましょう。あるソフトウェア企業が中国の下請け業者と協力して開発したソフトウェアが、ミドルウェアスタックに統合されているケースを想定してください。この場合、車両メーカーはどのようにしてミドルウェア層まで深堀りし、車両アーキテクチャの一部となっているハードウェアやソフトウェアを特定し、リスクを軽減できるのでしょうか？

OEMが直面するコンプライアンスの課題

すでに作業部会が結成され、この規則が自動車のサプライチェーン全体に及ぼす技術的な課題について議論・分析が進められています。この初期段階では、OEMやサプライヤーは以下のようなハイレベルな課題に取り組んでいます。

• 非常に広範な適用範囲 – OEMは、政府の具体的な要求事項をまだ詳細には把握できていません。大枠の目標は示されたものの、常に細部にこそ課題が潜んでいます。北米の主要な自動車サプライヤー団体であるMEMA（Motor & Equipment Manufacturers Association）は、すでにこの規則の広範な適用範囲に懸念を表明しており、特に先進運転支援システム（ADAS）やバッテリーマネジメントシステム（BMS）について言及しています。

バックエンドシステムや通信サービスにおいて、具体的に何が禁止されるのかについては、さらなる明確化が求められています。おそらく最も重要な点として、対象となるハードウェアおよびソフトウェアコンポーネントを特定するための基準について明確な指針が示されていません。

• コンプライアンスのタイムライン – 既述のとおり、ソフトウェアの禁止措置は2027年モデルから適用され、ハードウェアの禁止措置は2030年モデルから施行される予定です。しかし、自動車の開発・生産サイクルの特性を考えると、この時間軸は大きな懸念事項となります。OEMやそのパートナー企業は、すでに次世代車両の設計・開発に着手しており、ハードウェアやソフトウェアの調達プロセスも進行中です。この段階で契約済みのサプライチェーンを変更しなければならない場合、多大な損失が発生する恐れがあります。
  これらの課題を踏まえ、MEMAはすでにサプライヤーが新たな規則に適合するための期間を、2年間延長するよう要請しています。その理由として、サプライチェーンの複雑性や、徹底した適正評価手続きの必要性を挙げています。
• 知的財産（IP） – もう一つの課題は、独自開発のソフトウェアに関連する知的財産の保護です。企業がソフトウェア部品表（SBOM）やハードウェア部品表（HBOM）を規制当局に提出する義務を負う場合、自社の知的財産が確実に保護され、競合他社に漏洩しないことを保証する必要があります。ここでの課題は、規制に準拠しながら、車両に中国やロシア関連のコンポーネントが含まれていないことを証明しつつ、機密情報や独自技術を守る方法を見つけることです。

お手伝いできることはありますか？

最近のサイバーセキュリティ規制への対応と同様に、OEMは禁止されたコンポーネントを特定し、報告するためのツール、プロセス、専門知識が必要になります。これには、例えばソフトウェアやハードウェアの資産に、中国またはロシア由来のコンポーネントがないかスキャンし、疑わしいコンポーネントを特定・報告するツールの導入が含まれる可能性があります。

UNR 155やISO 21434などのサイバーセキュリティ規制に対応するため、多くのOEMやサプライヤーはすでに資産の脆弱性スキャンを実施しています。しかし今回の新規則に対応するためには、新たなリスク管理プロセスやツールを導入し、中国やロシア由来の禁止コンポーネントを特定・検査し、必要に応じて交換する仕組みを整える必要があります。PlaxidityXはすでに、Software Supply Chain Security製品を強化し、SBOMをスキャンして禁止コンポーネントを特定し、レポートを生成するなど、OEMが新規則に準拠するための支援の準備を整えています。

さらにOEMは、ハードウェアとソフトウェアの調達段階で潜在的な問題を特定することを目的としたプロセスを設定し、内部監査と外部の第三者機関による評価を実施する必要があります。このような適正評価手続きを実施することで、開発プロセスの後半で予期せぬ問題が発覚するリスクを回避することが可能になります。

新規則への適合戦略の構築にお困りですか？PlaxidityXのサービスチームにお問い合わせください。サプライチェーンに関する支援プロセスやツールに関して最適なアプローチをご提案いたします。