UNR 155：自動車サイバーセキュリティ準拠に欠かせない3つのポイント

この10年で、自動車業界は大きくデジタル化を遂げました。いまやほとんどの車に、標準でネットワーク接続機能が搭載されています。便利さが増す一方で、コネクティビティとデジタル化が進む産業にどうしてもつきものなのが、サイバーセキュリティのリスクとプライバシーへの懸念です。自動車業界もその例外ではありません。

現代の車はコンピュータ化が進み、それに伴って新しいリスクも生まれてきました。こうした状況を受けて、2016年に国連の車両規則調和世界フォーラム（WP.29）が、型式認証を受ける車両に必要なサイバーセキュリティの最低基準をつくる取り組みを始めました。そして2020年6月には、その成果として「国連規則 第155号 (UNR 155)」が採択されました。現在、自動車業界ではこの新たなルールに対応するために、プロセスや人材、技術面での体制が整えられています。

UNR 155は、自動車メーカーが型式認証を得るために満たさなければならない、新しい組織的・技術的要件を打ち出しました。自動車業界におけるサイバーリスク管理には、明確に定義された戦略が欠かせません。それは、体系化されたプロセス基盤、経験豊富なサイバーセキュリティ専門家の採用や外部リソースの活用、そして目的に沿った適切な技術ツールの導入などがあげられます。多くの自動車メーカーにとって、これらの活動や要件は自社の本業を超える大きな挑戦となっています。そのため、メーカー各社は長期的にコンプライアンスを実現するため、次の三つの主要な観点からサイバーセキュリティ能力の拡充に取り組んでいます。

必須事項1 – 体制の構築

UNR 155への対応における最初のステップとして、自動車メーカー各社は既存のプロセス体系やリスク管理方針を評価し、現行の仕組みとUNR 155の要求事項との間に存在する潜在的なギャップを特定しています。このようなギャップ分析は、不十分な点を明らかにし、今後の作業の優先順位を定めるために必要な最初のステップです。業界全体を見渡すと、サイバーリスクマネジメントに関わる方針・プロセス・手順の組み合わせは各メーカーごとに異なり、UNR 155のコンプライアンスに向けた進捗状況にも大きな差があることは明らかです。

この初期評価の結果は、初動から取り組むべき課題、業界標準やベストプラクティスと整合を図る必要がある課題、そして既に一定の要件を満たしている可能性がある課題を明確にします。車両開発プログラムや組織体制がかなり進んでいるメーカーもあれば、規制自体や車両向けサイバーセキュリティマネジメントのリスク志向アプローチにようやく慣れてきたばかりのメーカーもあります。

各メーカーは自社の組織構造に応じて、ポリシーやプロセスをそれぞれ異なる形で構築する必要があります。CSMS（サイバーセキュリティマネジメントシステム）の構築において、万人向けの汎用性のある方法は存在しません。

必須事項2 – ノウハウ

メーカーは、内部監査による評価の指摘やサイバーセキュリティプログラムのニーズに基づいて適切に作業を進めていかなければなりません。このニーズにより、適切な知識と経験を持つ有資格者の重要性が一段と高まっています。UNR 155は、組織内の方針やプロセス、手順の見直しを求めています。けれども、それだけでは十分ではありません。サイバーセキュリティに関わるさまざまな活動を専門的かつ一貫して行うためには、組織として新しい能力やスキルを取り入れることも欠かせないのです。具体的には、新たな人材の採用や外部専門家との連携、あるいは社内研修などを通じて、必要な知見を身につけていくことが求められます。

経験豊富なサイバーセキュリティ専門家（アナリスト、エンジニア、プロジェクトマネージャーなど）の採用が難しいという状況を踏まえ、自動車業界、とりわけ自動車メーカーは、市場に存在する多様なサイバーセキュリティ人材を活用するハイブリッドなアプローチを採用しています。しかし、プラットフォームやコンポーネント、予算、ポリシー、戦略、活用できるスキルなど社内の事情はメーカーごとに大きく異なり、結果として各メーカーでの活用方法は大きく異なっています。

必須事項3 – 技術的対策

優れた人材と熟慮されたポリシーやプロセスは重要ですが、それだけでは十分ではありません。サイバーセキュリティは常に変化する技術分野であるため、メーカーには練り上げられたプロセス体系と有能な人材に加えてさらなる要素が求められます。UNR 155は、サイバー脅威や脆弱性、攻撃の監視・検知・対応に関する明確な要件を示しています。これらの要件を満たすため、メーカーは、関連するデータの入力、現場でのインシデントに関するアラート、必要時の対応に使えるツールを確保するための、さまざまな技術的対策やツールを検討する必要があります。

自動車のサイバーセキュリティやUNR 155についてもっと詳しく知りたいですか？

PlaxidityXではUNR 155やISO/SAE 21434の準拠についてサポートもいたします。