規格から戦略へ：ISO 21434とASPICEを活用してセキュアなSDVを実現

今日のソフトウェア・デファインド・ビークル（SDV）は、1億行を超えるコードを搭載し、1時間あたり25GBものデータを処理できるようになっています。新しい技術は利便性や機能性を大きく向上させる一方で、車両のコネクティビティが高まることでサイバーセキュリティリスクは拡大しています。今後、自動運転モビリティのように車両がソフトウェア依存度を増すにつれ、これらのリスクはさらに深刻化するでしょう。

こうしたリスクの増大に対応するため、各国政府や規制当局は車載システムに関する要件を次々と導入しています。特にEUでは、UNR 155およびUNR 156といった車両のサイバーセキュリティ規制に加え、今後、デジタル製品全般を対象とするEUサイバーレジリエンス法のような新しい法規制も自動車産業のサプライチェーンに影響を与える可能性があります。規制や標準への準拠は、規模や車種に関係なく、OEMにとって重大なビジネス的影響をもたらしています。実際にここ数年間で、新しいサイバーセキュリティ規制への対応に必要なプロセスを非常に複雑かつ高コストと判断したため、特定モデルの「生産終了」を決定したOEMも見られました。

OEMにとって特に重要な規格がISO 21434とASPICEであり、これらを最適に導入する方法を理解することが、ビジネスや製品開発の効率化につながります。

ISO 21434とは

ISO 21434は、自動車のサイバーセキュリティエンジニアリングに関する国際規格です。この規格は、路上を走行する車両の電気・電子（E/E）システムとその構成部品およびインターフェースを対象として、コンセプトから製品開発、生産、運用、保守、廃棄までのライフサイクル全体において、サイバーセキュリティリスクマネジメントに関するエンジニアリング要件を定めています。ISO 21434は、サイバーセキュリティを製品開発プロセスに統合するためのガイドラインとして機能し、車両と自動車セキュリティの保護を目的としています。

必須の規格ではないものの、ISO 21434は事実上、UNR 155で求められるCSMS（サイバーセキュリティ マネジメントシステム）の導入における世界的な指針となっています。この規格は、OEMだけでなくサプライヤーに対しても適用可能な詳細なフレームワークとなっています。

ASPICEとは

ASPICE（Automotive SPICE）は、ドイツ自動車工業会（VDA）が策定した、車載ソフトウェア開発組織が従うべきプロセスと実践を定義したものです。業界で求められる品質や安全基準を満たすことを保証することが目的であり、ソフトウェア開発プロセスの成熟度や能力に焦点を当てた国際規格ISO/IEC 15504をベースにしています。

ASPICEは、要求定義からソフトウェアのテストや検証に至るまで、ソフトウェア開発ライフサイクル全体を対象としています。そして、適合を達成するために満たすべき具体的なプロセス要件を各レベルで定義しており、レベルは0から5までの6段階に分かれています。

レベル0 – 不完全なプロセス：プロセスが実施されていない、又は目的を達成できていない状態やプロセスが実施されておらず、目的も達成できていない状態を指します。

レベル1 – 実行されたプロセス：プロセスは目的を達成しているものの、管理が十分ではありません。

レベル2 – 管理されたプロセス：計画・追跡・管理・品質保証が行われ、十分なリソースと責任分担が明確化されています。

レベル3 – 確立されたプロセス：定義済みの手順に基づいて安定的に成果を出せる状態です。

レベル4 – 予測可能なプロセス：定義された範囲内でプロセスが運用され、成果や成果物について詳細な測定が行われます。

レベル5 – 最適化されたプロセス：現在および未来の事業目的に向かって継続的改善が行われ、漸進的かつ革新的な変化を通じて効果が向上していきます。

ASPICEアセスメントは、メーカーとサプライヤー間の共同プロジェクトにおいて一般的に行われ、システム要件分析、システムアーキテクチャ設計、ソフトウェア要件分析、プロジェクトマネジメントなど幅広い領域を対象としています。

OEM向けISO 21434とASPICEの導入支援

CSMSを導入・確立し、規制に準拠することは、自動車サイバーセキュリティの知識、スキル、人材、そして専用ツールを必要とする複雑で高コストな取り組みです。OEMはISO/SAE 21434の品質管理要件に沿って、組織レベルで開発や生産を監視するためのプロセスや方針を整備する必要があります。

「サイバーセキュリティ・バイ・デザイン」のアプローチをCSMSの導入に取り入れることで、OEMはすべてのプロセスやフェーズにわたり効率的に全工程へと組み込むことができます。当社がこれまでに行ってきたCSMS導入の経験と、自社の内部品質プロセスに基づき、OEMがサイバーセキュリティ施策を効率化するのに役立ついくつかのヒントをご紹介します。

1. 「サイバーセキュリティ・バイ・デザイン」のアプローチを採用しましょう。品質の観点から言えば、サイバーセキュリティは機能の上に「後付けする」ものではありません。むしろ、他の機能と同じようにソフトウェア設計プロセスの一部として組み込むべきものです。これは私たちPlaxidityXの取り組み方でもあります。製品を設計する際、私たちはあらゆる潜在的なサイバーセキュリティ脅威を、他の機能要件と同様に扱っています。サイバーセキュリティを独立した作業パッケージではなくシステム機能の一部として捉えることで、企業はCSMS監査に必要な複雑さと時間を大幅に削減することができます。

2. 効率的な品質マネジメントのために、ASPICEとISO 21434の適合準備を統合しましょう。ISO 21434とASPICEの間には並行する活動や戦略が存在するため、よく計画されたCSMS導入戦略によって、全体的なコンプライアンスの負担を大幅に軽減できます。前述のとおり、ASPICEは自動車ソフトウェアおよびシステムエンジニアリングにおけるコンプライアンスと継続的改善の基盤を確立します。CSMSを導入する際、OEMはASPICEのために策定された基盤となる戦略・手順・プロセスを拡張し、サイバーセキュリティの側面（ISO 21434）もカバーすることができます。
   
   例えば、OEMはASPICEにおいて、すでにインシデント対応（例：機械的な不具合）のためのサポートプロセスを定義している場合があります。この既存の文書を更新すれば、サイバーセキュリティインシデントも対象に含めることができます。別の例として、TARA（脅威分析およびリスクアセスメント）はASPICEで完全にはカバーされていないため、ISO 21434に準拠するには追加の文書を作成する必要があります。

3. サイバーセキュリティのノウハウを活用しましょう。CSMSを導入するには、自動車プロセスに対する深く包括的な理解、サイバーセキュリティのノウハウ、そして実証済みのコンプライアンス経験が求められます。ISO 21434およびASPICEレベル2に準拠した自動車向けサイバーセキュリティソフトウェア製品を活用することで、OEMはSDVの市場投入までの期間を短縮できると同時に、開発および生産コストを削減することが可能になります。
   
4. 進化する規制環境に常に対応しましょう。OEMには、コンプライアンスという課題を乗り越えるために、実行可能な導入ガイダンスが求められます。車両エコシステムの複雑さや、規制・標準の数が増え続けていることを踏まえると、新しい規制や更新情報を常に把握し、その要件をすぐに対応策へと落とし込むことが、これまで以上に重要になっています。

PlaxidityXのプロセスは ISO 21434とASPICEレベル2 に完全準拠

PlaxidityXは2025年にUL Solutionsによる包括的な監査を受け、ISO 21434に基づくすべてのプロセスを実装済みであると確認されました。監査対象は、組織的セキュリティマネジメント、プロジェクト依存のサイバーセキュリティマネジメント、分散型および継続的なサイバーセキュリティ活動、コンセプト策定、製品開発、サイバーセキュリティ検証、運用・保守、サポート終了と廃止、TARAモデルにわたります。

また、ASPICEについても、PlaxidityXはHost IDPS、Ethernet IDPS、CAN IDPSといった車載向け保護製品でレベル2準拠を達成しました。これにより、PlaxidityXのソフトウェアが最先端の開発プロセスを用いて高品質に開発されていることが実証されています。ASPICEレベル2のアセスメントでは、ソフトウェア要件管理 (SWE.1)、要件分析 (SWE.2)、アーキテクチャ設計 (SWE.3)、詳細設計とユニット構築 (SWE.4)、ユニット検証 (SWE.5)、統合と統合テスト (SWE.6)、品質保証 (SUP.1)、構成管理 (SUP.8)、問題解決管理 (SUP.9)、変更要求管理 (SUP.10)、そしてプロジェクトマネジメント (MAN.3)といったプロセスが評価対象となりました。

OEMの課題解決に向けたPlaxidityXの取り組み

自動車業界では、ソフトウェア設計とサイバーセキュリティを「V字モデル」に組み込む重要性が広く認識されており、多くのOEMはASPICEとISO 21434に精通したパートナーを求めています。

PlaxidityXは、OEMやTier1サプライヤーとの豊富なCSMS実装経験を持つだけでなく、自社組織内でISO 21434とASPICEを並行して実装した実践的な知見を蓄積しています。私たちのASPICEレベル2およびISO 21434への高い習熟度は、顧客が世界の自動車サイバーセキュリティ規格に準拠するうえで大きな支えとなります。PlaxidityXは、サイバーセキュリティに関する確かな知見と高い品質基準への取り組みを基盤に、OEMの皆さまが車両のセキュリティを確保し、進化する規制に対応できるよう、長期的にわたって信頼できるパートナーとして支えてまいります。