新しいTISAX®ラベル：注目すべきポイント

• 状況の変化 - 新しい要件
• 新しいTISAX^®ラベル「可用性」と「機密性」が導入された理由は？
• 一目でわかる新しいTISAX®ラベル
• 評価目的、ラベル、評価レベル - 違いの簡単な説明
• 旧ISAカタログによる認証では、GAP分析が必要
• 新しいTISAX ®ラベル- 結論
• DQSは、お客様の信頼できる審査機関です

新しいTISAX®ラベル「可用性」と「機密性」が導入された理由は？

サプライヤーやサービスプロバイダーは、自動車メーカーの開発・生産プロセスに密接に関与している一方で、その役割は企業によって異なります。例えば、ある企業は非常に機密性の高い情報を取り扱うことが求められますが、実際の生産には関与しません。逆に、非常に重要な部品を供給している企業であっても、自社の製品に関する情報しか知らない場合があります。

これらの多様な役割をより適切に反映させるために、従来の「情報セキュリティ」ラベルは、「可用性」と「機密性」の2つの新しいラベルに分割されました。この変更により、サプライヤーやサービスプロバイダーは、どちらか一方の要件を満たすだけで済むこととなり、ISAカタログ6.0の全ての要件を必ずしも満たす必要はなくなりました。この新しい区分は、企業の負担軽減と監査プロセスの効率化を目的としています。

ただし、情報セキュリティアセスメント（ISA）カタログは、脅威の状況の変化を踏まえ、いくつかの新しい要件を追加しています。特に、ランサムウェア攻撃のリスクが増加する中で、機密情報の保護に加えて、配信能力（例：ジャスト・イン・タイム生産）を確保するための要件も重要視されています。そのため、新しいTISAX®ラベルには、OTシステムの強化された保護対策も含まれています。

一目でわかる新しいTISAX®ラベル

企業秘密や個人情報を取り扱う企業に対しては、「Confidential（機密）」および「Strictly Confidential（厳密な機密）」というラベルが新たに追加されました。一方、企業の納品能力に不可欠な役割を果たすサプライヤー向けには、「高可用性」および「超高可用性」ラベルが適用されます。

新しいTISAX®ラベルに関連する基本要件に加えて、ISA評価カタログ6.0に基づき、特定の対策が求められています。機密性には「C」、可用性には「A」のマークが付され、これらの要求事項がどちらのラベルにも適用される場合があります。

機密

「Confidential（機密）」ラベルは、機密情報の保護に特化しており、情報の不正開示が評判の失墜、刑事訴追、金銭的損害などの重大な影響を及ぼす可能性があります。

ISAカタログの管理項目では、28の特定要求事項が「高い保護ニーズに対する追加要求事項」として定義され、「C」のマークが付けられています。これらの要求事項を満たすことで、機密性の保護が強化されます。

以下の管理項目は、実施労力が高いため特に注目すべきものです（括弧内は要件）：

• 3.1.3（プリンター、シュレッダー、カメラ、紙などのサポートデバイス上の情報を保護し、安全に廃棄する）
• 3.1.4（モバイル機器上のデータの暗号化）
• 5.1.1（特に外部データ処理に関する契約、仕様、保証を通じて、自己データに対する管理の法的保護）
• 5.1.2（情報のデジタル伝送経路の暗号化）

これらの管理項目には「C」のマークが付けられ、機密性の保護にのみ関連しています。可用性を目的とした監査プロセスでは、これらの要求事項は満たす必要はありません。

「秘密厳守」ラベル

「Strictly Confidential」ラベルは、極めて高い機密性を必要とする情報の保護に焦点を当てており、その情報の不正開示が重大な風評被害、犯罪的結果、あるいは金銭的損失など、破滅的な結果をもたらす可能性がある場合に適用されます。特に生命に脅威を与えるような結果を避けるための措置です。

ISA質問票の管理では、「非常に高い保護ニーズに対する追加要件」欄に9つの具体的な要件が定義され、「C」のマークが付けられています。

以下の管理項目は実施に手間がかかるため、特に注意が必要です：

• 1.6.1（情報セキュリティインシデントを管理するための定期的な演習を実施し、その証拠を提供する。）
• 4.1.2（非常に高度な保護が要求される情報へのアクセスには、二要素認証（またはそれ以上）を導入）
• 4.2.1（保護要求が特に高い情報の暗号化、四半期ごとのアクセス権のレビュー）
• 5.1.2（デジタル伝送時の情報の暗号化）
• 5.2.4（保護要求が特に高い情報へのアクセスのログ記録）
• 5.2.8（代替保管場所とバックアップ保管場所によるデータバックアップの考え方）
• 5.3.1（自社開発または顧客開発ソフトウェアのセキュリティチェック-実装中、変更時、定期的なチェック）

また、可用性に関するラベルと明確に区別されている点にも注意が必要です。特に、4.1.2、4.2.1、5.1.2、5.2.4の要件は、「C」のマークが付されているのみで、「Strictly Confidential」ラベルの監査プロセスにのみ関連しています。

「高可用性」ラベル

企業は、自社の製品やサービスの可用性が依存企業の生産能力や納品能力に直接影響を及ぼし、その失敗が重大な損害につながる場合に、「高可用性」ラベルが必要です。典型的な例としては、生産資材をジャストインタイムで供給するサプライヤーや、迅速に交換できないサービスや原材料の高度に専門化されたサプライヤーがあります。

ISAカタログ6.0の管理では、36の要求事項が「高い保護ニーズのための追加要求事項」の欄に定義されており、これらの要求事項には「A」が付されているため、このラベルを満たす必要があります。

以下の管理項目は、実施において特に注意が必要です：

• 1.6.3（危機的状況への備え：危機シナリオ、連絡先、コミュニケーション戦略、定期的な危機のシミュレーション）
• 5.2.8（内部脅威（バックアップの保護など）および外部サービス停止による混乱を防止するための適切なSLAなどによる対策）
• 5.2.9（バックアップとリカバリのコンセプト：バックアップの定期的なチェックとテストリカバリ）
• 5.3.2（ネットワークトラフィックの監視、中央サービスの可用性分析）

ここで挙げられている要求事項は「A」マークが付されており、可用性に関連するものであるため、機密性のラベル付けに関する審査プロセスには関連しません。

「非常に高い可用性」ラベル

企業は、自社の製品またはサービスの短期的な可用性が依存する企業の生産能力や配送能力に深刻な影響を与え、その障害が重大な損害につながる場合に、「非常に高い可用性」ラベルを必要とします。典型的な例として、ジャストインタイム供給を行うサプライヤーで、その故障が長期間の生産停止をもたらすような場合が挙げられます。

ISAカタログのコントロールでは、「非常に高い保護ニーズに対する追加要件」欄に13の要件が定義されており、これらの要件には「A」が付されているため、「高可用性」ラベルの要件に加えて、このラベルの要件を満たす必要があります。

以下の管理項目は、実施に手間がかかるため、特に注意が必要です：

• 1.6.1（情報セキュリティインシデントを管理するための定期的な訓練を実施し、その証拠を提供する）
• 1.6.2（まれな情報セキュリティインシデントについても対応する）
• 1.6.3（危機的状況を管理するための定期的な演習を実施し、その証拠を提供する）
• 5.2.6（OT/産業制御システムを考慮したITシステムの定期的な完全自動システム分析）
• 5.2.8（データバックアップのコンセプト、自社のコンティンジェンシープランと外部サービスプロバイダーのコンティンジェンシープランとの調整）
• 5.2.9（データバックアップのコンセプトの定期的なテスト；地理的に分散されたバックアップロケーション）
• 5.3.1（自社開発または顧客開発ソフトウェアのセキュリティチェック - 導入時、変更時、定期的なチェック）

ここに挙げた管理項目（1.6.2、1.6.3、5.2.6、5.2.9）の要件は、「高可用性」ラベルの審査プロセスにのみ関連するため、機密性に関するTISAXラベルには関係ありません。

「可用性」に関する2つのラベルは、生産能力（OT）維持に重点を置いています。OT関連のリスクやネットワークのセキュリティ対策は、審査時に重要な注目を集めることになります。

企業が必要とするTISAX®ラベル

どのTISAX®ラベルが必要かは、企業がサプライチェーンのどの段階に位置し、どのサプライヤーに依存し、どのサプライヤーに機密情報を提供するかに依存します。サプライチェーンの各段階において、企業はどの情報が重要であり、どのようなリスクに対して準備する必要があるかを考慮しなければなりません。

そのため、各企業の役割に応じて、TISAX®が求めるサプライヤー管理がラベル要件に反映されます。既存のTISAX®ラベルは、サプライヤーが自社の要求事項への準拠を証明するための便利な交換メカニズムを提供し、アセスメントの結果は利害関係者と共有することができます。

重要なのは、機密性や可用性のラベルが必ずしもすべての企業に必要なわけではなく、予防的に両方のラベルを要求すると、導入コストが増大する可能性があることです。役割ごとの理解を深め、適切なラベル要件を検討することが重要です。

また、TISAX®ラベルと評価レベルの関連も考慮する必要があります。「非常に高い可用性」や「厳格な機密保持」などのラベルは、レベル3の評価（オンサイト評価）によってのみ付与されるため、評価レベルに応じた対策が求められます。

評価目的、ラベル、および評価レベル - 違いの簡単な説明

• TISAX®評価目標: サプライヤーが満たすべき要件を決定するために使用される基準であり、製造パートナーの仕様に基づいて選定されます。
• TISAX®ラベル: 監査に合格した企業に付与され、TISAX®データベースで選択された評価目的に対する合格証として表示されます。
• TISAX®レベル: 審査の厳格さを示すもので、レベル1は自己評価、レベル2は外部審査員による自己評価の確認、レベル3は現場での有効性のチェックです。

旧ISAカタログによる認証の場合のGAP分析の重要性

旧「Info」ラベルで認証を取得している企業にとって、移行を円滑に進めるためには、GAP分析が必要となります。具体的には、以下の点が重要です。

• 「Info High」ラベルを保持している企業には、有効期限が切れるまで自動的に「Confidential」と「High Availability」のラベルが付与されます。同様に、旧「Info Very High」ラベルは「Strictly Confidential」と「Very High Availability」へと変更されます。これらの自動変換は、4月1日以前に申し出が受理された監査プロセスや、その後の範囲拡大にも適用され、旧ISAカタログ5.1に基づいて実施されます。
• ただし、3年間有効なTISAX®ラベルの有効期限が切れると、関連企業はその時点で有効なISA監査カタログに従って新たに認証を取得しなければなりません。古いラベルの有効期限が終了する際、新しい認証を取得する必要があるため、情報セキュリティマネジメントシステム（ISMS）の調整を余裕をもって行い、次回のTISAX®監査に備えるために、早期のギャップ分析を実施することを強くお勧めいたします。

なお、ENX協会では、ISA 5.1とISA 6.0の変更点を網羅した専用の要求事項カタログ（赤字でマークされたもの）を提供しており、これにより企業は新たに追加された要求事項を一目で確認することが可能です。なお、この文書は補助資料であり、監査にあたっては必ず最新のISA監査カタログをENXのウェブサイトからダウンロードしてご利用ください。

特に、以下の変更点が顕著です：

• コントロール1.3.4：ライセンス管理などのために、新たなソフトウェアへの投資が必要となる可能性があります。
• コントロール1.6.1および1.6.2：大幅に変更され、調整された上で定期的なテストを伴うインシデント対応が要求されるようになりました。
• コントロール3.1.2：新たに導入されたコントロール1.6.3、5.2.8、5.2.9に取って代わられ、危機対応、事業継続管理、データバックアップに関する多くの新要求が加えられています。

新しいTISAX®ラベル - 結論

新しいTISAX®ラベル（機密性と可用性）では、審査が企業の役割ごとに実施されるため、今後、TISAX®認証の効率性が向上すると期待されます。つまり、サプライヤーやサービスプロバイダーは、カタログに記載されるすべての要件を満たす必要がなくなりました。しかし、特に可用性ラベルについては、より多くの要求事項を満たす必要がある点にご留意ください。これは、配信能力の確保やOT環境の安全性に新たに焦点を当てたためであり、現行のISAカタログに含まれるすべてのコントロールが対象となっています。

改訂および部分的な拡張が行われたカタログには、いくつかの新しい要求事項も含まれており、これらは一定の努力とリードタイムを要します。そのため、旧カタログに基づいて認証を取得している企業は、旧ラベルの自動変換で新しいラベルを「受け取っただけ」の状態になっている可能性があるため、早期にギャップ分析を実施することを強くお勧めいたします。

特に、ローテーション・サンプリング手順（Rotating SGA）で過去にラベルを取得されていた企業には課題が生じる可能性があります。コスト面の理由から、このような企業は、ラベル有効期間の最終年に実際のサンプリング手順（サンプルベースSGA）に切り替えたいと考えることがあるため、3年目にローテーションSGAアセスメントを完了し、ISMSを新しいISAカタログに変換した上で、ラベルの有効期限が切れる前にサンプルベースSGAアセスメントを実施し、シームレスにラベルを更新できるよう準備することが必要です。

DQSは、お客様の信頼できる審査機関です

TISAX®はENX VCS（Vehicle Cyber Security）と同様、ENX協会によって開発されました。DQSはENXから承認されたアセスメントサービスプロバイダーであり、世界各地でのアセスメントの実施が可能です。また、弊社はTISAX®認定を受けております。さらに、TISAX®審査員の多くが情報セキュリティの国際規格であるISO 27001の審査員も兼任しているため、両規格の審査を効率的かつ労力を抑えて同時に実施することが可能です。ご相談やお問い合わせを心よりお待ちしております。

※なお、TISAX®へのアクセスにはENXポータルからのオンライン参加者登録が必要となります。これは、DQSのような承認された審査サービスプロバイダーへの委託に必須の前提条件です。

信頼と専門知識

ENXのテキストとパンフレットは、ENXの規格専門家または長年にわたる審査員によって作成されています。テキストの内容や著者へのサービスに関するご質問は、こちらまでお問い合わせください。