ホーム Blog ISO/TS 5083が示す新しい安全基準：自動運転におけるサイバーセキュリティと機能安全の統合

ISO/TS 5083が示す新しい安全基準：自動運転におけるサイバーセキュリティと機能安全の統合

Dikla Fiengertz、クオリティエンジニアリングチームリーダー
Elad Zinger、プロダクトディレクター

ISO/TS 5083:2025は、車両に搭載される自動運転システム（ADS: Automated Driving Systems）の安全確保に関して、自動車メーカー向けに包括的な指針を提供する技術仕様です。コネクテッドカーが高度化する中で、この規格は、安全とサイバーセキュリティが密接に相互依存していることを明確に示しています。最先端と位置づけられるこの規格では、サイバーセキュリティリスクの評価、継続的なモニタリング、そして脆弱性管理をADSの安全プロセスに組み込むことが求められています。PlaxidityXは、自動車メーカーがこれらの要件に対応できるよう、統合型のサイバーセキュリティアーキテクチャを提供しています。このアプローチでは、リスクアセスメント、VDR（Vehicle Detection and Response）、そして継続的な脆弱性管理を一元的に統合することで、ADSライフサイクル全体にわたる安全コンプライアンスの確保を支援します。

これまで自動車業界では、機能安全（FuSa: Functional Safety）とサイバーセキュリティは別々の領域として扱われてきました。セーフティエンジニアは主に偶発的な故障への対応を担当し、セキュリティチームは悪意ある攻撃への対策を担うという役割分担が一般的でした。しかし、ISO/TS 5083「Road vehicles – Safety for automated driving systemsは、このようなサイロ化されたアプローチに大きな変化をもたらすことになります。

この新しい技術仕様は、ADSに関する最先端の安全の定義を提示すると同時に、新たな現実を明確に示しています。すなわち、サイバーセキュリティなしに車両の安全は成立しないという考え方です。

本ブログでは、ISO/TS 5083が自動車業界にもたらす重要な影響について解説します。特に焦点を当てるのは、サイバーセキュリティリスクをセーフティのリスク受容基準（RAC: Risk Acceptance Criteria）に統合するという要件です。また、本記事では、PlaxidityXのインテリジェントかつ統合型のサイバーセキュリティソリューションが、自動車メーカーにどのような技術基盤を提供し、これらの新しい統合要件への対応をどのように支援できるのかについても紹介します。

ISO/TS 5083とは何か

自動運転の実用化が進み、車両の自動化レベルがLevel 3およびLevel 4へと移行するにつれて、サイバーセキュリティは単なるIT課題ではなく、安全を成立させるための重要な要素となっています。ISO/TS 5083:2025は、道路車両に搭載される自動運転システム（ADS: Automated Driving Systems）の安全確保に向けて、自動車メーカーに包括的な指針を提供する新しい技術仕様です。特に、Level 3およびLevel 4の自動運転機能を対象に、安全設計および運用における重要な要件を定義しています。

この規格の大きな特徴は、安全（Safety）とサイバーセキュリティ（Cybersecurity）の密接な関係を明確に示している点にあります。ISO/TS 5083では、サイバーセキュリティに関する考慮事項を、安全プロセスの中に統合することを求めています。具体的には、サイバーセキュリティリスク評価、セキュリティモニタリング、運用フェーズにおける脆弱性管理、そしてADSが保存・利用する情報の保護などが含まれます。従来の多くの規格において、サイバーセキュリティは安全を補完する「支援プロセス」として扱われてきました。しかしISO/TS 5083では、その位置づけが大きく変わります。本規格では、サイバーセキュリティは安全を確保するための正式な要求事項として定義されているのです。

中核となる要件：安全状態はセキュリティによって支えられる

この規格では、自動運転車が「最小リスク状態（MRC: Minimal Risk Condition）」を確実に実行できることが安全の前提であるとしています。例えば、システムに異常が発生した際に安全に減速し路肩へ停止するなど、車両を安全な状態へ移行させる機能がこれに該当します。しかし、車両がサイバー攻撃によって侵害されている場合、このような安全動作を確実に実行できなくなる恐れがあります。そのため、ISO/TS 5083では、安全性を検証するために満たすべき具体的なサイバーセキュリティ要件が示されています。

許容可能なリスクを定義
メーカーは「許容可能なリスク」を定義するためのリスク受容基準（Risk Acceptance Criteria）を明確に設定する必要があります。そして、その定義にはTARA（脅威分析とリスク評価）などのサイバーセキュリティリスク評価の結果を組み込むことが求められます。
セキュアなオペレーション
ADSを搭載した車両が安全に運用されるためには、外部からの不正な干渉を防ぎ、システムが安全機能を確実に維持できる状態を確保しなければなりません。
安全の原則
さらにADSは、潜在的な脅威からシステムを保護するための戦略を備え、サイバーセキュリティリスクが「許容できないレベル」に達しないよう設計される必要があります。
他の標準も適用
加えて本規格では、車両の技術的能力を悪意ある干渉から保護するための基本フレームワークとして、ISO/SAE 21434の適用を前提としています。

これらの要件が示しているのは、サイバーリスクの位置づけが大きく変わったという事実です。サイバーリスクはもはやデータ保護やプライバシーの問題にとどまりません。自動車においては、安全性そのものを損なう要因であり、場合によっては車両の公道走行適合性を失う可能性のある重大な問題として位置づけられているのです。

規格不適合がもたらすビジネスリスク：罰則と法的責任

ISO/TS 5083は技術仕様であるものの、「最先端のエンジニアリング」を示す基準として位置づけられているため、これに適合していない場合、自動車メーカーにとっては法的および商業的なリスクが発生する恐れがあります。

市場参入の制限

各国の規制当局は通常、型式認証の審査において最先端の技術基準への適合を求めます。たとえばUNR157の型式認証では、安全とセキュリティの統合を含む最新の安全基準への適合が前提となります。ISO/TS 5083が求める安全とサイバーセキュリティの統合を十分に証明できない場合、型式認証が認められない可能性があります。

製造物責任や過失責任のリスク

もしADSがサイバー攻撃によって引き起こされた事故に関与し、その際にメーカーがISO/TS 5083で示されている「ポジティブ・リスクバランス（安全性がリスクを上回る状態）」の原則を適切に考慮していなかった場合、その車両は「欠陥製品」と判断される可能性があります。その結果、メーカーは多額（場合によっては数百万ユーロ規模）の損害賠償請求に直面する恐れがあります。

当局による強制リコールのリスク

車両が本規格で定義される安全原則に適合していないと判断された場合、規制当局は車両の運行停止や市場からの即時回収を命じることができます。

監査不合格によるビジネスへの影響

ISO/TS 5083への適合に関する監査に失敗した場合、関連する品質認証や安全認証が取り消される可能性があります。これはTier1サプライヤーやOEMとのB2B契約において「契約不履行（default）」条項の発動につながることもあり、最悪の場合、契約解除に至る可能性もあります。

ブランドへの影響

ADSにとって、社会的信頼が市場拡大の前提となります。「最先端の安全基準」に従わなかったことが原因とされる安全事故が発生した場合、その影響は単なる技術問題にとどまらず、企業ブランドや市場での信頼を長期的に損なう可能性があります。

ISO/TS 5083に対応するPlaxidityXの統合セキュリティアプローチ

ISO/TS 5083の要件を満たすためには、単なるチェックリスト対応では不十分です。求められるのは、セキュリティデータがリアルタイムで安全判断に反映される統合アーキテクチャです。PlaxidityXのサイバーセキュリティ製品と統合アーキテクチャは、このギャップを埋めることを目的に設計されています。

安全とサイバーセキュリティを統合するモニタリング基盤：Vehicle Detection & Response（VDR）プラットフォーム

ISO/TS 5083のClause 9.2.3では、サイバーセキュリティのモニタリングをライフサイクル全体にわたる継続的な活動として実施し、フィールドモニタリング（Clause 9.3.1）と連携させることが求められています。PlaxidityXのVDR（Vehicle Detection & Response）プラットフォームは、この統合モニタリング機能を車両側（エッジ）とクラウドの双方で実現します。

Intrusion Detection and Prevention（IDPX）：車両側エッジエージェントとして動作し、車両の実行レイヤーにおける詳細な可視性を提供するとともに、リアルタイムの脅威防御を実現します。ホスト、Ethernet、CANといったあらゆるE/Eアーキテクチャに対応し、不正なCANコマンドなどの悪意ある通信をクラウドへの往復通信による遅延を発生させることなく即座にブロックします。

エッジインテリジェンス（IDXR）：ADS内部に配置される拡張型侵入検知レポーターとして機能し、Clause 9.3.1で求められる「異常動作」の検知を行います。エッジ側でノイズをフィルタリングすることで、センサーデータの改ざんやステアリングECUへの不正コマンドといった、安全性に影響を及ぼす可能性のあるセキュリティ異常のみを検出対象として抽出します。

クラウドコンテクスト（VPCC）：
これらのアラート情報は、Vehicle Protection Cloud Core（VPCC）によってクラウド上で統合・分析されます。VPCCは、車両からのセキュリティアラートとフリート全体の安全データを相関分析することで、単なるセンサーの一時的な不具合なのか、それとも車両が安全状態を維持できなくなる可能性のあるサイバー攻撃なのかを判断できるよう支援します。

安全設計：AutoDesigner

ISO/TS 5083では、安全性に関する主張を裏付けるために、体系的な脅威分析とリスク評価（TARA: Threat Analysis and Risk Assessment）を実施することを求めています。

PlaxidityXのSecurity AutoDesignerは、このTARAプロセスを自動化するソリューションです。ISO/SAE 21434のClause 15に基づくリスク評価を効率的に実行できるよう設計されており、設計段階において潜在的な攻撃経路を網羅的に特定します。そして、それぞれのリスクをISO/TS 5083で求められるリスク受容基準（RAC: Risk Acceptance Criteria）に直接紐づけて管理することが可能です。これにより、ADSの設計段階から適切な対策を組み込むことができ、サイバー攻撃が発生した場合でも、システムが想定された運用条件である運行設計領域（ODD：Operational Design Domain）の範囲内で安全に機能し続けられるよう支援します。

ライフサイクル全体の安全性を維持する：SW Supply Chain Security（SSCS）

ADSが現在安全に動作していたとしても、サードパーティ製ライブラリに新たな脆弱性が発見された場合、その安全性が将来的に損なわれる可能性があります。

ISO/TS 5083では、このようなリスクに対応するため、継続的な脆弱性分析の実施（Clause 9.2.3）が求められています。PlaxidityXのSW Supply Chain Security（SSCS）ソリューションは、ADSソフトウェアを対象に、公開されている脆弱性データベース（CVE）および自動車業界向けの独自データベースを継続的に照合し、潜在的なリスクを監視します。これにより、新たなCVEが公開された場合、その脆弱性がADSの安全機能にどのような影響を及ぼす可能性があるかを即座に評価することが可能になります。結果として、ISO/TS 5083のClause 9.3.2で求められる動的変更管理（Dynamic Change Management）のプロセスを実現し、安全性が損なわれる前に必要なソフトウェア更新や対策を適用できるようになります。

サイバーセキュリティと安全をつなぐ

自動運転技術がLevel 3およびLevel 4へと進化する中で、サイバーセキュリティは車両の安全性を支える不可欠な要素となっています。ISO/TS 5083は、この安全とセキュリティの相互依存関係を明確に示し、自動車メーカーに対してADSの安全プロセスの中にサイバーセキュリティの観点を統合することを求めています。PlaxidityXは、コネクテッドカーおよび自動運転車を保護するために設計された、インテリジェントなサイバーセキュリティ製品群を提供しています。これらのソリューションはISO/TS 5083の考え方に沿って設計されており、OEMが単なる断片的なコンプライアンス対応にとどまることなく、より体系的なアプローチでセキュリティと安全を統合できるよう支援します。

執筆：2026年03月09日

目次