automotive-dqs-kfz in futuristischer farbgebung

TISAX® - 重要な質問への回答

Holger Schmeken

DQS Expert for Information Security
01月 17日 , 2023
# TISAX (自動車産業における情報セキュリティ)

VDA情報セキュリティ評価」(VDA ISA)の要求事項に従って、提供された情報のセキュリティを証明する必要がありますか?標準化の専門家であるAndré Saeckelが、自動車産業における共同試験・交換手順であるTISAX® に関する重要な質問にお答えします。TISAX®の影響を受ける企業の範囲は、当初想定していたよりも広くなっています。TISAX®認証は、従来のティア1サプライヤーに加えて、他のサブレベルのサプライヤーからも要求されることが多くなっています。また、データ処理や広告分野のサービスプロバイダーなど、広い意味での自動車業界のパートナー企業からも要求されています。

コンテンツ

TISAX®は何のためにあるのですか?

TISAX® - Trusted Information Security Assessment eXchange の略です。

TISAX®は、自動車部門のための共通の評価および交換手順です。TISAX®は、VDAのワーキンググループ「情報セキュリティ」によって開発された情報セキュリティ質問票(ISA - Information Security Assessment)をベースにしています。この質問票は、ドイツ自動車工業会(VDA)の会員企業が、機密情報を処理しているサプライヤーやサービスプロバイダーの監査に初めて使用されました。VDA ISA質問票のバージョン5.0は、2020年7月から提供されています。2020年10月1日以降、このバージョンは、すべての新しいTISAX®-アセスメントに適用されます。

また、TISAX®は、国際的に認められている情報セキュリティ規格であるまた、TISAX®は、国際的に認められた情報セキュリティ規格であるISO 27001の必須要件に基づいています。この規格は、すべての業界に適用され、企業内の情報セキュリティを確保するための要件、規則、方法を定義しています。その要件には、IT技術システムの保護にとどまらず、施設、セキュリティ管理、アーカイブなど、保護に値するすべての企業資産が含まれています。言い換えればISO 27001は、組織にとって価値のあるすべての情報の保護を保証します。

TISAX®のメリットは何ですか?

  • TISAX® は、自動車業界で統一されたレベルの情報セキュリティを実現します。
  • 評価結果は、すべてのTISAX® 参加者の間で企業間で認識され、監査を受けた企業の信頼性向上につながる
  • TISAX® ネットワークでの相互承認により、不要な重複審査 多重審査 回避されます。
  • TISAX®認証のための審査は3年ごとにしか行われないため、時間と費用を節約できる

TISAX®の監視者は?

TISAX® は、フランクフルト・アム・マインとパリに拠点を置くENX協会の登録商標です。中立的な機関として、TISAX®の実施を委託されています。ENXは、欧州の自動車メーカー、サプライヤー、およびVDAを含む4つの国の自動車協会の連合体で、2000年にENXを設立しました。ENX協会は、実装の品質を監視し、厳格な手順に従って評価サービスプロバイダーに承認を与えています。DQS社はENXに承認された審査サービスプロバイダーとして登録されており、世界中で審査を実施することができます。DQS社の専門家は、いつでもお客様のご質問にお答えします。

ENXは、参加企業による審査の相互承認を実現するために、すべての承認された監査サービス・プロバイダーおよびTISAX® ネットワークの参加企業と対応する契約を締結しています。標準化と品質モニタリングにより、ENXはすべての参加者の間で評価結果の共通認識を達成します。不必要な重複や複数の評価を避けることができます。

TISAX®に関するQ&Aです。評価レベルとは何ですか?

TISAX®では、必要な保護機能に応じて、通常(レベル1)、高(レベル2)、超高(レベル3)の3つの評価レベル(保護要件)を区別しています。監査方法と監査工数はこれに依存します。

レベル1:もっともらしいチェックを行わない自己評価で、通常は内部目的のみで行われる。これらの評価結果は限定的な意義しかなく、TISAX®では使用されない。

レベル 2:DQS 社などの監査サービスプロバイダーによる自己評価の妥当性の確認。これらの情報セキュリティ監査は、プロトタイプ保護の監査目的の一つが適用されるか、またはお客様が明示的に要求する場合を除き、通常、オンサイト監査ではなく、電話会議として実施されます。

レベル3: 詳細かつ包括的なオンサイト監査を通じた、監査サービスプロバイダーによる自己評価の妥当性の確認。

TISAX®の導入は、非製造業の企業にとっても必須でしょうか?

この質問に対する答えは、お客様のビジネスの背景によって異なります。TISAX®を導入する必要があるかどうかは、OEM(相手先商標製品)メーカーが、この情報セキュリティの証明を要求してくるかどうかによります。自動車メーカーが特別にアプローチしてこない限り、あるいはT&Cに変更がない限り、様子を見ることをお勧めします。過去には、企業は必要に応じてOEMから要件について連絡を受け、さらなる協力を求められたこともありました。しかし、自動車業界のパートナーに積極的に問い合わせをするのは、もちろんあなた次第です。

顧客からの要求がなくても、TISAX®認証を目指すことに意味はあるのか?

最近では、自動車業界のサプライヤーに限らず、情報セキュリティのテーマに積極的に取り組むことは非常に意味のあることです。もしあなたのOEMが、あなたに期待されるTISAX®ラベルを(まだ)指定していないなら、レベル3(アセスメントレベル3:非常に高い情報セキュリティ)を実証するのは良いアイデアだと思います。このようにして、重複した作業をすることなく、将来のすべての要求に備えることができます。また、世界的に認められているISO/IEC 27001規格は、情報セキュリティに関する業界横断的な入門書として最適です。

ISO 27001 - 情報セキュリティマネジメントシステム

ISO規格に準拠した総合的なマネジメントシステム ★リスクマネジメントプロセスの効果的な実施 ★セキュリティレベルの継続的な改善

TISAX®の内容は、ISO 27001に類似していますか?

TISAX®の評価カタログは、国際規格であるISO 27001に由来しており、そこに定義されている「コントロール」(対策)を利用しています。これらは、それぞれの要求事項(must、should)をどのように実施するか、プロセスをどのように確保するか、どのようなツールを使用するかを説明しています。この2つの規格の主な違いは、TISAX®では一定の成熟度に達していることが求められることです。

TISAX®とISO 27001の統合監査は推奨されますか?

TISAX®とISO 27001の統合監査は可能であり、DQS社はいつでも実施することができます。DQS社のすべてのTISAX®審査員は、ISO 27001の認定審査員でもあるため、情報セキュリティに関する両方の評価をわずかな労力で同時に実施することができます。

「TISAX®システムは、VDA質問票とISO 27001の原則という強固な基盤に基づいて、自動車業界全体で統一されたレベルの情報セキュリティを確保する可能性を提供する初めてのシステムです」と述べています。

TISAX®を導入する前に、ISO 27001の認証を受ける必要がありますか?

この質問に対する答えは、「いいえ」です。なぜなら、ISO 27001に準拠して認証された情報セキュリティマネジメントシステムがすでに存在していなければならないという要件はないからです。TISAX®評価では、情報セキュリティマネジメントシステムに従って業務を行い、対応するプロセスと手順が企業内で安定的に実施されていることを証明すればよいのです。この評価は、監査人によって行われ、監査人は文書を使用して成熟度レベルを割り当てます。

既にISO 27001を取得している場合のメリットは何ですか?

ISO 27001の認証を取得していることを証明できる場合は、もちろん有利になります。TISAX®では、情報セキュリティ管理を実施していることを証明する必要がありますが、両方のルールは同様の範囲をカバーしているからです。

「自動車業界のデジタル化。自動車内のアプリケーションやデータの数は爆発的に増加しており、それに伴い、情報セキュリティにおける攻撃対象や被害の可能性も拡大しています。"

ただし、注意していただきたいのは、TISAX®の監査範囲の定義は、ISO 27001の認証に必要な定義とは異なる場合があるということです。根本的な概念は同一ではありません。大規模な組織では、複数の監査範囲の登録も検討されます。

ISO 9001の「プロセス定義」は、TISAX®に類似していますか?

この質問に対する答えは「イエス」である。原則として、対応する一連の規則におけるプロセスの定義と構造は常に同じです。TISAX®アセスメントカタログは、どのコントロールからKPIを決定しなければならず、どのコントロールから決定してはならないかを極めて具体的に述べています。KPI の作成は、自動車業界の情報セキュリティを確保するための例で裏付けられています。したがって、VDA ISAの質問書を見ることで、最初の概要を知ることができます。

TISAX®の導入には、ITセキュリティ責任者の設置が推奨されますか?

TISAX® を導入する責任者がIT部門からであることは必須ではありません。しかし、ITでサポートされたプロセスが関与しているため、多少のIT知識はあった方が有利です。

TISAX® の評価範囲はどのように定義すればよいですか?

ENXは、全TISAX® 参加企業の90%が採用している標準スコープを提供しています。デフォルトのスコープはあらかじめ定義されており、変更することはできません。評価の準備中に、標準的な範囲では適合しないことがわかった場合、一定の状況下で試験範囲を調整することができます。個々のケースでは、OEM が拡張された範囲を必要とする場合があります。ただし、このような特別なケースはまれであり、各OEMがあなたと詳細に協議します。通常は、標準的な範囲で十分です。これは、TISAX®評価の基本であり、すべての参加者に受け入れられます。

すべてのサイトを対象とした1つの評価範囲で十分ですか?

すべてのサイトを含む1つのスコープは、メリットもありますが、デメリットもあります。

メリット

  • 1つの検査結果、1つの検査レポート、1つの有効期限で済む
  • 中心となるプロセス、手順、およびリソースを一度だけ評価する必要があるため、コストを削減できます。

不利な点

  • 監査結果は、すべてのサイトが評価された後にのみ得られます。
  • 審査結果は、すべてのサイトが審査に合格していることが前提となります。つまり、1つのサイトだけが審査に合格しなかった場合、肯定的な審査結果は得られません。

評価範囲を「セキュリティ上重要な従業員」などに限定することはできますか?

ENXは、TISAX® についてのこの質問に明確に答えています。自動車業界の機密情報に接触するすべての従業員を評価範囲に含める必要があります。これは、例えば、顧客の建設計画を扱う機械オペレーターなども含まれます。情報セキュリティに関連するプロセスにどのような従業員が関わっているかは、企業自身が定義する必要があります。

ENXでは、まずTISAX®監査の申請書を提出し、その後に監査機関を選択するというのは本当ですか?

はい、その通りです。www.enx.com/tisax/ でのオンライン登録とENXによる評価範囲の承認後、承認されたすべての評価サービスプロバイダーのリストが送られてきます。ただし、ENXで事前にリストを確認することもできます。DQSはENXのサービスプロバイダーとしてリストアップされており、世界中でアセスメントを実施することができます。自動車業界の情報セキュリティに関するご質問やご相談は、当社の専門家までお気軽にお問い合わせください。

成熟度レベルが低すぎる場合、問い合わせは全く意味がないのか?

自己評価の結果、情報セキュリティの面でまだやるべきことがあると判断された場合、当面、評価依頼は意味がありません。まずは指摘されたギャップを解消してから、監査を検討することをお勧めします。

個々のアセスメントにはどのくらいの時間がかかりますか?

個々のアセスメントの期間に関する質問への答えは、あなたの会社の規模とサイトの監査に伴う旅費に依存します。平均的な企業規模であれば、評価プロセスには2~3日の現地滞在で十分です。

企業が認証されたとみなされるまでに、どのくらいの期間がかかりますか?

TISAX®の審査プロセス全体では、最大で9ヶ月を要します。最初の審査に始まり、最後のフォローアップ審査で終了します。審査プロセスが指定された期間内に完了できない場合は、TISAX®ラベルは発行されません。

baretton-gerber-1-dqs

TISAX®アセスメント

また、個人的なミーティングでご質問にお答えさせていただきたいと思います。

義務はなく、無料でご利用いただけます。

Initiate contact now

貴社がすべての基準を満たしているか、軽微な不適合しかない場合、アセスメントレポートがENX社に提出されます。この報告書が受理されると、すぐに(仮)TISAX®ラベルが発行されます。重大な不適合があり、それを是正する必要がある場合、ラベルはその不適合が是正されたとみなされた日から有効となります。

TISAX®に関するQ&Aです。TISAX®ラベルとは何ですか?

ラベルは、評価プロセスの結果であり、お客様の結果をまとめたものです。ラベル同士は階層的にリンクしています。つまり、あるラベルを受け取ると、自動的にその下の「ラベル」も受け取ることになります。ラベルはENXポータルでのみ見ることができます。ラベルの有効期間は通常3年間です。

重大な不適合と軽微な不適合とは何ですか?

重大な不適合とは、その不適合が情報セキュリティ管理システムの全体的な有効性に疑念を抱かせる場合や、重大な情報セキュリティ・リスクを引き起こす場合です。例えば、二要素認証が要求されているにもかかわらず、これがまだ実装されていない場合などがこれに該当します。

軽微な不適合は、例えば、不適合が情報セキュリティ管理システムの全体的な有効性に疑問を投げかけたり、自動車業界の情報セキュリティに重大なリスクをもたらすものではない場合に存在します。例えば、孤立した、あるいは散発的なエラーや実施上の不備などです。

また、個々の対策の有効性を示す証拠を提出する必要がありますか?

答えは "イエス "です。対策のカタログを作成し、それらを実施した後、その効果が検証されます。このため、認証プロセスでは、9ヶ月間の期間も設けています。

従業員数を "事前に "決定するにはどうすればよいのでしょうか?

具体的にはお客様との契約が成立するまで追加の従業員が採用されない可能性がある場合、正確な従業員数を事前に決定するにはどうすればよいでしょうか?

TISAX® の場合、従業員を分類する範囲は、国際規格であるISO27001の場合よりもかなり大きくなっています。TISAX®では、従業員の数を、例えば、0~50人、51~150人などで分類します。そのため、新規に採用される従業員の数がおおよそ分かっていれば、適切な範囲に配置することができます。

TISAX®に準拠するためには、何枚のドキュメントを用意すればよいのでしょうか?

ここで一概に言うことはできません。常に企業の規模や活動内容に左右されます。理論的には、明確な概要があれば、1つのドキュメントですべてをカバーすることができます。しかし、関連するトピックをカバーする複数のドキュメントを作成することをお勧めします。

TISAX®はVDAのプロトタイプ保護に取って代わるのでしょうか?

TISAX®には、プロトタイプ保護のための独立したモジュールが含まれており、個々の基準について従来よりもはるかに詳細に説明されているため、長期的には、TISAX®が自動車業界における情報セキュリティのための従来のルール群に取って代わることが想定されます。ただし現在は、2018年のVDAプロトタイプ保護バージョン3.0が有効である。

TISAX®に関するQ&A - DQSは何をしてくれるのですか?

DQSはENXに認定された監査サービスプロバイダーとしてリストアップされており、世界中で評価を行うことができます。DQS社のTISAX®審査員は、国際規格であるISO 27001の審査員も兼任しているため、両規格の審査を同時に、かつ手間をかけずに実施することができます。自動車業界の情報セキュリティに関するご質問には、当社の専門家がお答えいたします。お問い合わせをお待ちしております。

ご質問はありませんか?

私たちにご連絡ください。

義務はなく、無料でご利用いただけます。

Send inquiry now

専門知識と信頼

当社のテクニカル・アーティクルは、社内の規格専門家と長期にわたる監査人によってのみ執筆されています。内容や執筆者に関するご質問がございましたら、お気軽にお問い合わせください。

著者名
Holger Schmeken

Product Manager for TISAX® and VCS, Auditor for ISO/IEC 27001, Expert for Software Engineering with more than 30 years of experience, and Deputy Information Security Officer. Holger Schmeken holds a Master's in Business Informatics and has extended audit competence for Critical Infrastructures in Germany (KRITIS).

ご質問はありませんか?

お気軽にお問い合わせください。
お問い合わせはこちら