Car interior with large display and digital interface on a blurred background

VCS認証

車両サイバーセキュリティ

VCS審査 - 自動車産業における車両サイバーセキュリティ

自動車のサイバーセキュリティ・アーキテクチャに統合されるVCSコンポーネントの開発、製造、または長期的な保守を担当していますか？もしそうであれば、車両のライフサイクルを通じてISA/SAE 21434の契約上保証された要件を満たしていることを証明する必要があります。

VCSプログラムの参加企業であれば、3年ごと、および契約義務の期間中に実施しなければならない適切な審査を通じて、これを行うことができます。VCS認証は、あらゆる業界に適用可能であり、VCSコンポーネントの関連するすべてのライフサイクルにわたるサイバーセキュリティ管理システム（CSMS）の要件を定義しています。VCS審査の前提条件は、TISAX®に準拠した情報セキュリティマネジメントシステム（ISMS）と品質マネジメントシステム（QMS）です。

すべてのVCS参加者間の相互承認

サプライヤやサービスプロバイダは、被審査企業に対する信頼が高まります。

VCS認証審査は3年ごと

VCSネットワークに加入することで、時間とコストを節約できる

VCS審査に関する基本情報

VCSは、自動車業界の企業のための共通の審査および交換プログラムです。VCSは、VCSA（Vehicle Cyber Security Audit：車両サイバーセキュリティ審査）質問票に基づいています。VCSは国際的に標準化された審査プログラムであり、サイバーセキュリティマネジメントシステム（CSMS）の国際規格ISO/SAE 21434およびISO/PAS 5112の本質的な部分を実装している。

UN R 155では、道路運送車両の製造業者は、車両のサイバーセキュリティに責任を持つことが義務付けられている。ここでいうサイバーセキュリティとは、車両のすべてのITベースのコンポーネントのセキュリティと信頼性を指す。純粋に電子的または物理的に制御されるコンポーネントとは異なり、VCSコンポーネントはソフトウェア駆動型である。これにより、車両は運転手や環境に応じて動的に運転動作を適応させたり、自ら駐車したり、急ブレーキをかけたりすることができる。バイワイヤ・ソリューションは、古くから航空分野で使用されており、客室の新しいデザイン・ソリューションや、低速での高い操舵角（ステア・バイ・ワイヤ）による市街地での容易な操縦、完全自動の駐車ブレーキ（ブレーキ・バイ・ワイヤ）などを可能にします。

TISAX ®と同様に、VCSにはVCSの審査結果を交換する仕組みがあります。VCSはENX協会の審査メカニズムです。欧州の自動車メーカー、自動車部品メーカー、自動車関連団体が加盟する団体で、VCS審査の品質を監視し、VCS審査サービスプロバイダーの承認を管理しています。

VCS審査のメリットは何ですか？

VCSコンポーネントのサービス・プロバイダーまたはサプライヤーとして、コンポーネントのサイバー・セキュリティを決定する特定の活動に対して、メーカーに対して責任を負うことになります。VCS審査では、DQSから適合性の証明を受けるだけでなく、リスク管理にも積極的に取り組むことができます。特に超長期的な義務に関しては、貴社の対策が長期的に適切であることを保証するための支援が可能です。従来、このような審査は主に製造業者自身が行っていました。VCSネットワークに登録された参加者は、共通のオンライン・プラットフォームを通じて、審査サービス・プロバイダーを選択し、VCS審査を委託することができる。企業にとっては、デメリットを上回るメリットがある：

異なるクライアントによる重複した複数の審査を避けることができ、時間とコストを節約できる。
VCS参加者のための審査の企業間認識
整合化された VCSA 審査カタログにより、一貫した審査プロセスが保証されるため、信頼性の高い結果が得られます。
VCS開発」、「VCS生産」または「VCS運用・保守」と呼ばれる1つまたは複数のVCSラベルにより、被審査組織の信頼性が向上します。

審査に合格すると、VCSオンライン・プラットフォーム上でVCSラベルが発行されます。これらのラベルは、証明書に相当し、VCSサプライヤーとしての能力を確認する役割を果たします。

VCSの仕組み

VCSでは、参加者は2つの異なる役割を担うことができます。「情報消費者」（受動的）、例えば、サプライヤーに関する情報を受け取りたいメーカーと、「情報提供者」（能動的）、例えば、メーカーからの注文を受けるために適切かどうかの審査を受けたいVCSサプライヤーまたはサービス・プロバイダーです。

企業が両方の参加者の役割を担うこともできる。情報提供者としてVCSに参加しようとする者は、主に以下の4つのステップを踏まなければならない：

1.www.enx.com/VCS、オンラインで登録する。

2.DQSのようなENX認定の審査サービスプロバイダーを選択する。

3.VCS審査を受ける。

4.VCSオンラインプラットフォームで審査結果を交換する。

VCS審査結果に関心のある企業は、ENXに「情報消費者」として登録することができます。現在のVCSステータスを情報消費者と共有するかどうかは、情報消費者ごとに決めることができます。

VCS審査の仕組み

VCS審査を開始する前に、審査範囲を明確にする必要があります。これには、自社がどのVCS活動に責任を持つかを決定することが含まれます。VCS開発活動であれば、「VCS開発」の要件を満たす必要があります。自社がVCSコンポーネントの安全な生産と基本構成に責任を持つ場合は、「VCS生産」の要件を満たす必要があります。VCSコンポーネントの長期運用・保守を担当する場合は、「VCS運用・保守」の要件を満たす必要があります。

中央のサイバーセキュリティ管理システムは、CSMSを主に管理するサイトで審査される。中央の CSMS の有効性は、CSMS の VCS アクティビティが実行されるサイトで審査される。したがって、これらの分散された VCS 活動が行われるすべての拠点が審査範囲に含まれる。ただし、審査の過程で、どの拠点が実際に審査対象に含まれるかを決定するために、VCSプロジェクトのサンプルが採取される。原則として、対象サイトはすべて、審査時に有効な^TISAX ®ラベルを取得している必要がある。

最初のステップでは、DQSを認定審査機関として選択します。
第2ステップでは、キックオフミーティングを開催し、全責任者に審査チームの期待事項を説明します。
第 3 のステップでは、VCSA 審査カタログを使用して中央 CSMS の自己評価を実施し、審査チームが利用できるよう、カタログで参照される文書のパッケージを作成する。
第 4 段階では、主任審査員が、提供されたすべての文書のレビューを実施する。
第 5 段階では、中央 CSMS が審査され、VCSA に準拠しているか評価される。
第6のステップでは、リスク基準に基づいて、VCSプロジェクトの無作為サンプルを選択する。
第 7 段階では、サンプリングした VCS プロジェクトを審査し、CSMS 要件が実施されていることを確認する。これは、プロジェクトチームリーダーを審査し、ISO/SAE 21434で要求される作業成果物をレビューすることによって行われる。