現在、自動車は車輪の上にコンピュータを搭載しており、そのためサイバー攻撃のリスクにさらされています。2024年7月には、自動車業界のサプライチェーン全体で包括的な自動車サイバーセキュリティを確保するための新たな規制が導入されました。この新しい規制は、OEM(自動車メーカー)とサプライヤーがサイバーセキュリティ対策を強化することを目的としており、ENX協会はその実施をサポートするために、新しいVCSA(Vehicle Cyber Security Audit)を発表しました。
この記事は、ドイツの「QZ - Quality and Reliability」誌69巻(2024年)に掲載された内容です。
デジタルトランスフォーメーションにより、自動車はより効率的で安全なものへと進化しました。電子制御システムと常時ネットワーク化が進む一方で、サイバー犯罪者の標的にもなりつつあります。重要なシステムが攻撃されると、致命的な結果を招く可能性があります。最も厳格なソフトウェア開発基準を遵守している航空業界でさえ、エラーのないソフトウェア保証は困難です。
とはいえ、ソフトウェア制御により、品質問題に対して迅速に対応することが可能となり、実質的に一晩でOTA(Over-the-Air)アップデートを実施できるようになりました。この進化により、自動車の運用と安全性は劇的に向上しています。
増大するサイバー脅威に対応するため、国連はUNECE R 155およびR 156を採択しました。これらの規則は、サイバーセキュリティ管理システム(CSMS)とソフトウェア更新管理システム(SUMS)の導入を義務付けており、車両のライフサイクル全体およびサプライチェーン全体でのサイバーセキュリティ確保を目的としています。EUでは、2024年7月以降、新たに製造されるすべての車両に対してこの規制の遵守が義務化される予定です。
ISO/SAE 21434(道路車両 - サイバーセキュリティエンジニアリング)では、国連規制の遵守を目的としたガイドラインおよび適合証明の作成が行われました。しかし、ISO/PAS 5112の仕様にもかかわらず、試験サービスプロバイダーごとの審査プログラムに大きな差異があり、製造業者は供給業者の適合性について信頼できる比較可能な証拠を提供できないという問題が浮上しました。また、供給業者も契約条項の遵守を証明する際に比較可能な試験基準に基づいた証明に課題を抱えていました。
これに対応するため、ENX協会(欧州の自動車メーカー、サプライヤー、団体で構成)は、ENX VCS審査プログラムを策定しました。このプログラムは、ISO 21434およびISO 5112に基づき、車両サイバーセキュリティ管理システム(VCSMS)の実施状況を審査します。ENX VCS審査は、ISO規格よりも迅速に新たな課題に対応できることが特徴で、国際的な専門家グループが定期的に審査プログラムを見直し、常に最新の状態を維持しています。
ENX VCSのプロセスやVCSラベル取得のための前提条件をご覧ください。
標準化されたENX VCS審査により、企業は複数の審査プロセスや異なる審査によって発生する不必要な費用(特に金銭的なコスト)を回避できます。すべての審査プロバイダーがグローバルに比較可能な審査プロセスを提供するため、ENXは、プログラムの開始時に特定の審査プロバイダー基準および評価要件(ACAR VCS)と、車両サイバーセキュリティ審査(VCSA)用の拘束力のある審査カタログを発行しました。
これにより、VCS審査員には一連の必須能力と手続きモデルが求められます。例えば、V-CSMS規則に基づく組織審査に加え、文書審査やプロセス審査も必須となります。また、サイバーセキュリティ関連のプロジェクトについてはリスク指向のランダムサンプルを形成し、サンプルに含まれるプロジェクトの責任者であるエンジニアリングチームは審査員や専門家からインタビューを受けます。その後、チームの作業結果がV-CSMSの実施状況と照らし合わせてレビューされます。
テストに合格した企業は、ENXにVCSラベルの申請を行い、ENXの交換メカニズムを通じて関係者にその結果を公開することができます。
ACAR VCSによるVCS審査は、確立された自動車規格であるTISAX®と構造的に関連しており、この2つの審査メカニズムは互いに補完し合っています。TISAX®が企業の情報セキュリティを評価するのに対し、VCSラベルは車両コンポーネントのサイバーセキュリティを確認することを目的としています。TISAX®と同様に、VCS審査はサイバー関連部品の供給におけるサプライヤーの役割を考慮しており、各サプライヤーはその特定の役割に対応するVCSA審査カタログの要件のみを満たす必要があります。
異なるVCSラベルは以下のように区別されます:
VCS審査の一環として、OEMおよびサプライヤーは、認定審査プロバイダーによるVCSMS審査を受けることが求められます。その後、ENXから3年間有効なVCSラベルを受け取ることができます。この新しいラベルは、国際的な比較可能性が高まり、V-CSMSがUNECE R 155サイバーセキュリティ仕様への適合性を強化することに寄与します。これにより、企業は当局やビジネスパートナーに対して自社の準拠を明確に示し、包括的な自動車サイバーセキュリティの向上に貢献することができます。
重要なのは、迅速に行動することです。ENXへのVCS審査登録は無料で提供されており、早期の対応が推奨されます。
DQSは1985年にドイツで初めて設立された認証機関で、以来、世界的に認知された審査・認証のエキスパートとして活躍しています。設立パートナーであるDGQ(Deutsche Gesellschaft für Qualität e. V.)およびDIN(Deutsches Institut für Normung e. V.)は、標準化業務にとどまらず、トレーニングや教育にも重要な役割を果たしています。
私たちは、委員会や団体に積極的に参加し、お客様に対して専門的な知識を審査に反映させています。私たちのアプローチは、単なるチェックリストの確認で終わるものではありません。私たちの言葉には信頼と実績があります。
弊社のテキストやパンフレットは、規格の専門家または長年の経験を持つ審査員によって執筆されています。内容や著者に関するご質問がございましたら、どうぞお気軽にご連絡ください。
TISAX®とVCSのプロダクト・マネージャー、ISO/IEC 27001の審査員であり、30年以上の経験を持つソフトウェア・エンジニアリングのエキスパートであるホルガー・シュメケンは、情報セキュリティ副責任者も務めています。ビジネス情報学の修士号を取得し、ドイツの重要インフラストラクチャ(KRITIS)に対する拡張監査能力を有しています。
