datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

自動車のサイバーセキュリティ新たな規制の義務化

Holger Schmeken

DQS Expert for Information Security
12月 06日 , 2022
# TISAX (自動車産業における情報セキュリティ)

デジタル化の急速な進展に伴い、より多くの電子制御システム、インテリジェントなコンポーネント、組み込みシステム、APIインターフェースが自動車に搭載され、これまで以上にパワフルで安全、スマートな自動車を実現するようになりました。しかし、電子機器への依存度が高まることは、同時に危険もはらんでいます。そこで、監査人の視点からも新しい規格を詳しく見てみましょう。

コンテンツ

なぜ自動車のサイバーセキュリティなのか?

自動車サイバーセキュリティは、自動車メーカーにとって目下の課題です。通信インターフェースやコンポーネントを追加するたびに、サイバー犯罪者の潜在的な攻撃ポイントとなる可能性があります。例えば、自律的に制御される自動車や電子制御される運転・制動機能に関して、操作による被害の可能性は急速に高まっている。

このため、国連は現在、2つの新しい規則で自動車のサイバーセキュリティの基本的な枠組みを定義しています。これらは、新しいISO/SAE 21434規格を直接参照するUNECEサイバーセキュリティ(UN R 155)と、UNECEソフトウェアアップデート(UN R 156)である。この規制は、早ければ2022年7月に新車種に義務付けられる予定です。自動車業界は大きな課題に直面しています。特に、多くの相手先商標製品メーカー(OEM)やサプライヤーが、この新しい規制は非常に一般的であると批判しています。ここでは、拘束力のあるガードレールとしての具体的な行動推奨を求める声が広がっています。

自動車産業におけるサイバーセキュリティとは?

情報セキュリティの国際規格ISO27001が業界横断的なアプローチであるのに対し、自動車サイバーセキュリティという言葉は、自動車業界のデジタルシステムのセキュリティを表しています。私たちの自動車は、ネットワーク化された電子システムやソフトウェア・アプリケーションへの依存度がますます高まっています。その結果、これらのコンポーネントを保護し、安全性を確保することが、業界全体でますます重要になってきています。これは、自動車メーカーに始まり、サプライヤーやエンジニアリングサービスプロバイダー、そしてソフトウェアやICTインフラサービスプロバイダーにまで及びます。自動車メーカーとそのサプライヤーを対象とした国連の新しい2つの規制は、自動車ITのセキュリティを確保するために策定されたものです。

ISO 27001 - 情報セキュリティの古典

ISO/IEC 27001は、情報セキュリティの全体的な管理システムを導入するための主要な国際規格です。

なぜ自動車のサイバーセキュリティが必要なのか?

コネクテッドカー:これは、革新的なアシストシステム、(部分的な)自律走行、サプライヤーを含むネットワーク化された生産、コネクテッドサービスを備えたコネクテッドカーを意味します - デジタル化は自動車産業のほぼすべての分野ではっきりと実感され、急速に進行しています。しかし、接続性が高まるということは、結局のところ、コードが増えるということであり、そのコードはさまざまな形で危険にさらされる可能性があります。結局のところ、現代の自動車には最大150の電子制御ユニットと約1億行のコードが含まれており、これは2030年までに3倍になると予想されています。現在の自動車に搭載されているソフトウェアの量は、すでに戦闘機の4倍に達しています。

ITセキュリティや自動車のサイバーセキュリティに特別な注意を払う必要があるのは、コロナの大流行とそれに伴うサイバー攻撃の増加以降だけではありません。自動車は常に機能的な安全性を保証できるものでなければなりません。スマートカーに対するサイバー攻撃の被害可能性は甚大です。大量に攻撃された場合の恐怖のシナリオ(「あるメーカーの車の電子ブレーキがハッカーの攻撃で一斉にマヒする」)を考えておく必要があります。ここで必要なのは、的確で効果的なセキュリティの考え方です。

実際の例攻撃による影響

2015年、アメリカのIT専門家2人が、ジープ・チェロキーのハッキングによる潜在的な影響を実証しました。彼らは、インフォテインメントからナビゲーションまで、多くの電子車両機能を統合したUconnectシステムを侵害しました。このシステムは、モバイルデバイスのインターフェースとしても機能し、要求に応じてWLANホットスポットを開く、つまりIPアドレスを持つものです。2人のハッカーは、その技術を実演するためにジャーナリストを招きましたが、しばらくして彼は車の制御を失い、力なく見守るしかありませんでした。

ハッカーたちは、1000キロ以上離れたところから、ノートパソコンを使ってエアコンとラジオを作動させた。次にフロントガラスにワイパーの水をかけ、最後に高速道路(ヨーロッパのフリーウェイに相当)の真ん中でエンジンを切ったのです。このように自動車のITインフラに深刻な脆弱性があることを最初に証明した後、彼らはさらにもう一歩踏み込みました。誰もいない駐車場で、ステアリングやブレーキに影響を与えることさえ可能であることを実証したのだ。その結果、140万台のリコールと1億500万ドルの罰金を支払うことになった。

ITセキュリティと車両ソフトウェアのアップデート

今日、自動車を総合的に保護するためには、選択的な対策ではもはや十分ではありません。その代わりに、セキュリティシステムの範囲、性能、監査に関する明確な要件を規定した体系的かつ戦略的なアプローチが必要とされています。戦略的アプローチは、製品のライフサイクル全体をカバーする必要があります。ここでは、例えばソフトウェアアップデートの長期的な可用性や、サプライチェーン全体の統合に焦点を当てる必要があります。

自動車サイバーセキュリティの適切な枠組みを構築するため、国連欧州経済委員会(UNECE)の自動車規制調和世界フォーラムは、2020年夏に初めて2つの拘束力のある規則を採択しました。UNECE R 155とUNECE R 156の略称で発表されたこの規則は、自動車のITセキュリティとソフトウェア更新に関するものであり、したがって密接に関連しています。

この規制は2021年初めに発効されました。2022年7月からは、新車種への適合が義務付けられる。2022年7月からは新車種への適合が義務付けられ、適合しないメーカーは該当車種の登録ができなくなる。そして2024年7月からは、新たに製造されるすべての車両にこの規制が適用されます。

この規制は、基本的に4つの分野での対策の実施を要求しています。

  • 自動車のサイバーリスクの管理
  • バリューチェーンに沿ったリスクを軽減するために、セキュリティ・バイ・デザインアプローチに従って自動車を保護する。
  • 車両全体に対する攻撃の検知と防御
  • セキュリティの観点からのソフトウェアアップデートの提供、車両ソフトウェアの無線アップデート(O.T.A.)の法的根拠の導入

自動車のサイバーセキュリティ新しい規制の影響を受けるのは誰か?

国連の規制は、主に自動車メーカーが新しい要求事項を実施するよう求められることについて述べています。しかし、これには、規制の実施を常に実証するために、サプライチェーン全体でサイバーセキュリティを監視・監査することが含まれます。したがって、メーカーはサプライヤーを監視する義務を負っています。そして、それゆえ、そのサプライヤーにも新しい基準を実施するよう求める可能性が非常に高い。

この2つの規制は、自動運転機能を搭載した乗用車、バン、トラック、バスに適用される。このカテゴリーには、新しいタイプの自動運転ポッド、シャトル、または同等の車両も含まれる。さらに、この規制は、少なくとも1つの電子制御ユニットを含むトレーラーにも適用されます。

R155に基づくUNECEのサイバーセキュリティは何を対象としているか?

UNECE R 155では、サイバー攻撃から車両を保護するための要件が定義されています。ここで重要なのは、車両を市場に投入するすべての企業において、サイバーセキュリティ管理システム(CSMS)を導入することです。興味深いのは、この要件によってメーカーの視点が変わることです。彼らの開発活動は、もはや生産開始(SOP)で終わりではありません。その代わりに、必要な改良を含め、自動車のライフサイクル全体にわたって安全システムをチェックする継続的な義務が発生するのです。

このように、立法者はソフトウェア開発とソフトウェア保証の高度に動的な性質を考慮しているのである。さらに、管理システムは、サプライチェーンに沿った安全要求事項の遵守を保証することを意図している。現在、ソフトウェア量の70%以上をサプライヤーが占めていることを考えると、これは簡単なことではありません。

国連規則第155号 「サイバーセキュリティおよびサイバーセキュリティ管理システムに関する自動車の承認に関する統一規定」[2021/387]。規制の本文はこちらでご覧いただけます。

このような複雑な状況にもかかわらず、開発から完成した車両が走行するまで、エンドツーエンドのセキュリティを確保するためには、CSMSを総合的に考えることが重要です。また、車両はセキュリティ・バイ・デザインのアプローチに基づいて設計されなければなりません。これは、最初から攻撃者の入り口をできるだけ小さくしておくことを意図しています。

サイバーセキュリティマネジメントシステム(CSMS)とは?

CSMSの主な特徴は以下の通り。

  • リスク管理:組織は、サイバー脅威からのリスクを特定、評価、緩和するためのプロセスを使用する。
  • リスク管理は、開発から最終顧客での運用段階まで、製品ライフサイクル全体をカバーする。
  • 新しい脆弱性や既知の攻撃を監視し、新しいアップデートで対応する。
  • 認定試験機関による独立した評価を可能にします。

CSMSの導入によりサイバーセキュリティが体系化されることで、情報セキュリティの問題をリスク志向で解決することが企業に求められるようになることが、実務上の重要なプラスポイントです。

"サイバーセキュリティ管理システム(CSMS)とは、自動車に対するサイバー脅威に関するリスクを管理し、サイバー攻撃から自動車を保護する上で、組織的プロセス、責任、ガバナンスを確立するための体系的かつリスクベースのアプローチを指します。"

出典はこちら欧州連合官報R155号

これには、リスクを十分に定義・評価し、それがどの程度の確率で発生するかを考えることが含まれます。このリスク評価は、具体的な潜在的被害を許容レベルまで低減するための強固な出発点となるもので、実績のある実際的なアプローチです。

自動車のサイバーセキュリティUNECE R 156は何を規制しているのか?

予測可能な将来において、完全自律走行車も交通に参加することになるため、車両ソフトウェアを適切に維持し、例えばバグフィックスやアップデートなどを通じて、恒久的に最新の状態に保つことが中心的な重要事項である。そこでR156では、すべての車両に標準に準拠したソフトウェア更新管理システム(SUMS)を導入し、運用することを規定している。これは、自動車のライフサイクル全体にわたって恒久的なセキュリティを提供することを目的としている。

何年、何十年経っても、安全かつ確実にアップデートをインストールできるようにしなければならない。さらに、R156は、車両の場所に関係なく、いつでも短期間で更新できる、いわゆる「Over-the-Air」アップデート(O.T.A.)の法的基盤を構築している。

国連規則第156号「ソフトウェア更新及びソフトウェア更新管理システムに関する自動車の承認に関する統一規定」[2021/388]。本規則の本文はこちらでご覧いただけます。

それに比べ、現在の携帯電話メーカーは、今後何世代のソフトウェアをサポートするのか、古い端末のセキュリティアップデートはどの程度の期間で提供されるのか、ほとんど確証がありません。ITに親和性のある携帯電話メーカーが、製品のライフサイクルに関わる課題をできるだけ早く回避したいと考えるなら、それは、製品のライフサイクルが長い自動車産業が現在直面しているIT関連の課題を明確に示していると言える。

自動車産業において、現代のサイバーセキュリティは認証可能なのか?

EUの規制では、メーカーは常に管理システムの機能を確保し、すべてのソフトウェアの状態を広範囲に渡って文書化する必要があります。

CSMSの機能について認証可能な基準を提供するため、国際標準化機構(ISO)は自動車技術者協会(SAE)と共同で、2021年8月にISO/SAE 21434を発表しました。専門家の間では、ISO/SAE 21434は、自動車メーカーにおけるサイバーセキュリティ管理システムの導入について、承認当局が認める根拠となることが期待されています。

ドイツ自動車工業会(VDA)は、この規格の補足テスト基盤を作成し、自動車メーカーがサプライヤーやエンジニアリングサービスプロバイダーのCSMSを監査する際に利用できるようにしました。このように、メーカーのCSMSは、サプライヤーレベルまでUNECE規制の意味での効果を発揮することができる。

ソフトウェアアップデートマネジメントシステムの認証は、ISO 24089が標準となる予定である。ただし、現時点(2022年1月)ではまだ設計は未定です。

TISAX®との差別化

確かにTISAX®も自動車産業における情報セキュリティの試験方法である。そして、認証と同様に、要求事項の充足は審査によって証明することができます。しかし、TISAX®は、主に自動車産業のサービスプロバイダやサプライヤを対象としており、彼らは顧客に対して一定の情報セキュリティ要件を満たしていることを証明しなければならない。例えば、開発・製造工程で顧客からサプライヤーに提供されるデータや情報の安全な取り扱いがその一例である。一方、ISO/SAE 21434は、自動車メーカー、すなわちOEM(相手先商標製品製造会社)を対象としている。

レピュテーションブースターとしてのISO/SAE 21434

ISO 21434のアプローチは、ISO 27001などの一般的なマネジメントシステムに類似しており、特定されたリスクを考慮しながらプロセスと手順を実施するよう求めている。

この規格の目的は、自動車のライフサイクル全体を通して、特にデータ処理用の電子システムの安全性を確保することである。そうすることで、自動車産業におけるサイバーセキュリティの品質基準として確立され、拘束力を持つことを目指している。

ISO/SAE 21434:2021- 路上走行車両 - サイバーセキュリティ工学 - 発行日 2021-08.この規格は、ISOのウェブサイトから入手可能です。

この全体的なアプローチに対応するため、この規格では、セキュリティ設計、製品開発、製品保守、リスク検知、ハザード軽減、製品廃棄、および関連する継続的プロセスの領域におけるCSMSを定義しています。また、メーカーとサプライヤーの間で分散して製品開発を行う場合の責任に関する規定も盛り込まれているが、具体的な技術や解決策は具体的に規定されていない。

自動車メーカーやサプライヤーは、ISO21434の実施を日常業務への追加負担と見なすべきではない。それどころか、認証は多くの分野で真の付加価値を提供する。キーワードは、サイバー保険、サイバー賠償責任、マーケットレピュテーションである。その結果、時には競争上の優位性にさえなり得るのだ。結局のところ、独立した専門家によって確認された最先端のITセキュリティと確認されたデータ保護は、業界において重要な品質特性とみなされるようになってきているのです。

参考:その他の重要な自動車関連規制

IATF 16949

自動車業界は、優れたプロセス品質、継続的な改善プロセス、最高水準、イノベーションに取り組んでいます。IATF 16949は、自動車産業におけるサプライヤーの品質マネジメントシステムの標準です。

自動車産業における品質

自動車産業への市場参入をお考えですか?あるいはトップサプライヤーとして市場参入を果たしたいですか?自動車メーカーは、IATF16949に準拠した証明書という、品質能力を証明する意味のあるものを提供することを期待しています。

TISAX® (ティサックス

TISAX®は、自動車業界向けの共通の試験・交換手順です。これは、ドイツ自動車工業会(VDA)が開発した「ISA - 情報セキュリティ評価」アンケートをベースにしています。このアンケートには、国際規格ISO/IEC 27001の重要な側面が含まれており、さらに成熟度モデルで拡張されています。

TISAX® - 自動車産業における情報セキュリティ

自動車産業のサービスプロバイダやサプライヤとして、情報セキュリティの要求事項を遵守していることを顧客に証明する必要があります。

ISO 26262

この規格は、自動車に搭載される電気・電子部品からなるシステムの機能安全を確保することを目的としたものです。この規格は12の部分から構成されています。第1部第1部:用語、第2部:機能安全マネジメント、第3部:コンセプトフェーズ、第4部:システムレベルの製品開発、第5部:ハードウェアレベルの製品開発、第6部:ソフトウェアレベルの製品開発、第7部:生産、運用、サービス、デコミッショニング、第8部:生産、運用、サービス、デコミッショニング、第8部:システムレベルの製品開発、第5部:ハードウェアレベルの製品開発、第7部:システムレベルの製品開発、第7部:ハードウェアレベルの製品開発、第7部:ハードウェアプロセスの製品開発サポートプロセス、第9部:ASIL(Automotive Safety Integrity Level)指向および安全指向の分析、第10部:ISO 26262に関するガイドライン、第11部:ISO 26262の半導体への適用に関するガイドライン、第12部:二輪車への適応。

ISO 26262-1(bis 12):2018-12- 路上走行車両 - 機能安全.規格は、ISOのウェブサイトから入手できます。

チェックリスト:UNECEオートモーティブセキュリティの要件を満たしていますか?

UNECEの要求事項のカタログは幅広く、一見すると圧倒されるかもしれません。以下の3つのチェックリストは、規制の概要をコンパクトにまとめ、既存の管理システムがすでにUNECE規制に適合しているかどうかの第一印象を与えるものである。

UNECE Regulation on Cybersecurity and Cyber-Security Management Systemsによると、型式承認を取得するために、製造者は以下の要件を満たす必要があります。

要件 サイバーセキュリティマネジメントシステム。

  • CSMSが導入されており、道路運送車両の開発、生産、ポストプロダクションの各段階に適用できること。
  • リスクアセスメント分析が実施され、その目的を果たしている。
  • リスク軽減策が特定されている。
  • リスク軽減の機能がテストにより検証可能である。
  • サイバー攻撃を特定し、防御するための措置がとられている。
  • データフォレンジックにより、成功した攻撃の分析が可能である。
  • 関連する脅威、脆弱性、及びサイバー攻撃に対する監視能力をサポートするための対策が講じられている。
  • 自動車メーカーは、少なくとも年に一度、承認機関に報告している。

UNECE Regulation on Software Updates and Software Update Management Systemsによると、型式承認を取得するために、メーカーは以下の要件を満たす必要があります。

要求事項 ソフトウェア更新管理システム

  • ソフトウェア更新管理システムが導入されており、道路運送車両に適用できる。
  • 製造者はアップデートを完全に文書化している。
  • アップデートの配信メカニズムが改ざんから保護され、アップデートの完全性と真正性が保証される。
  • ソフトウェア識別番号やソフトウェアバージョンが不正に変更されないように保護されている。
  • ソフトウェア識別番号は、車両からインターフェイスを介して読み取ることができます。

無線によるソフトウェア更新のための要件

  • 更新に失敗した場合のリカバリ機能がある。
  • 十分な電力が供給されているときのみ、ソフトウェアの更新が行われる。
  • 更新の安全な実行が保証されている。
  • 更新の都度、更新の完了をユーザーに通知する。
  • 車両に余裕があるときのみアップデートを実行する(例えば、走行中には実行できないアップデートもある)。
  • メカニックが必要な場合、ユーザーに通知される。

DQSで認証成功への道筋をつける

情報セキュリティとデータ保護は、ITセキュリティの枠をはるかに超えた複雑な問題です。技術的、組織的、インフラ的な側面を包含し、法的な要件にも触れています。効果的な保護対策には、ISO/IEC 27001に準拠した情報セキュリティマネジメントシステム(ISMS)が適しており、これにISO/IEC 27701に準拠したプライバシー情報マネジメントシステム(PIMS)を加えることが理想的です。ISO 21434は、まもなく許認可当局から要求されるサイバーセキュリティ管理システム(CSMS)の基礎となる可能性がある。

DQSは、マネジメントシステムおよびプロセスの審査と認証のスペシャリストです。IATF16949に基づく品質管理、TISAX®に基づくサプライヤーでのプロトタイプ保護など、自動車産業向けの製品で、当社と監査人はすでに幅広い業界知識を得ています。35年以上の経験と、全世界で2,500人の監査員のノウハウを持つ当社は、データ保護と情報セキュリティに関するあらゆる疑問にお答えする、お客様の有能な認証パートナーとなります。

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

We will gladly answer your questions

ISO 27001、ISO 27701、IATF 16949 TISAX®の 認証 取得のための要件とは何でしょうか。また、どれくらいの労力が必要なのでしょうか。それを知ることができます。無料で、義務なしに。

We look forward to talking with you
著者名
Holger Schmeken

Product Manager for TISAX® and VCS, Auditor for ISO/IEC 27001, Expert for Software Engineering with more than 30 years of experience, and Deputy Information Security Officer. Holger Schmeken holds a Master's in Business Informatics and has extended audit competence for Critical Infrastructures in Germany (KRITIS).

ご質問はありませんか?

お気軽にお問い合わせください。
お問い合わせはこちら