道路車両—サイバーセキュリティエンジニアリングの国際標準規格、ISO/SAE 21434:2021が8月に発行されました。自動車基準調和世界フォーラム(WP29)」が、自動車へのサイバーセキュリティ対策(CSMS (Cyber Security Management System)を義務付ける指針(法規制の提案)を採択し、ISO/SAE 21434準拠がベースとなりそうです。『自動車サイバーセキュリティガイド』をダウンロードして対応を検討して下さい。

<背景>

自動車はインターネットとつながり、アプリベースの遠隔監視/管理、先進運転支援システム(ADAS)、自動運転と進化を続けています。さらには、カーシェアリングプラットフォームやMaaS (Mobility-as-a-Service)、遠隔車両管理等の新たな自動車活用も増えています。

このコネクテッドカーの世界では、自動車でもIoTデバイスと同様のサイバーリスク課題が生じます。犯罪組織が自動車をサイバーハイジャックし、遠隔操作でコントルールする事件も起きかねません。業界は違いますが、今年5月にはアメリカ最大級のパイプラインがサイバー攻撃を受けてガソリンなどの供給が一時的に停止したこともありました。これはランサムウェア(身代金ウィルス)によるサイバー攻撃であり、パイプラインは5日間停止しました。操業停止の影響で燃料供給がひっ迫、多くの州が緊急事態宣言を出しました。

車載の場合、ガソリン車で数万個の部品が使われていますが、電子部品は3千個くらいです。その中でもエンジンなどの重要な制御を行っている組込み型コンピュータ(ECU :Electric Control Unit)は数十個です。近年では機能安全規格であるISO26262で、ECUの安全対策や検証は十分されています。しかし、組織的ハッカーがECU内のソフトウェアにその後のハッキングの入り口を設けていたりするリスクにもしっかりと対応する必要があります。いわゆるサプライチェーン攻撃に対する対処です。

QualityCubeでは車載部品メーカー、コネクテッドサービスメーカーに効率良くサイバーセキュリティ対策に取り組んで頂ける様に、ISO/SAE 21434のドラフトに基づく指導を始めました。

<サイバーセキュリティ規格化の動き>
2020年6月に、国際連合欧州経済委員会(UNECE)の下部組織である「自動車基準調和世界フォーラム(WP29)」が、

自動車へのサイバーセキュリティ対策(CSMS (Cyber Security Management System)を義務付ける指針(法規制の提案)を採択しました。それによって、サイバーセキュリティ法規を満たしていない車両は、欧州や日本をはじめとした多くの国で販売できなくなる可能性が出てきました。この動きに同調してISO/SAE21434準拠が事実上の標準となっています。

WP.29は2021年1月にサイバーセキュリティとソフトウェアアップデートに関する規則をUN-R155CSMSおよびUN-R156SUMSとして発行し、コネクテッドカーのISO/SAE21434準拠を主張しています。

OTA(Over The Air)技術とは、データの送受信を無線通信で行うための技術ですが、日本ではOTA対応の新車では2022年7月から、OTA非対応の新車は2024年1月からCSMS対策が適用される可能性が出てきました。


OTA技術対応車では誤用濫用対策のISO/PAS 21448 SOTIFとCASE (Connectedコネクテッド、Autonomous/Automated自動化、Shared シェアリング、Electric電動化)対応のISO24089(ソフトウェアアップデート)の適応性も検討されています。
OEM(自動車メーカー)は自らCSMS準拠義務を順守するためにTier1、Tier2サプライヤがCSMS構築出来ているかを審査する義務を負っています。

自動車サイバーセキュリティ関連スケジュール

規格の構成


ISO/SAE21434に基づく具体的な進め方は「自動車サイバーセキュリティガイド」をダウンロードして下さい。

※ダウンロードはこちらから→ガイドダウンロード

<QualityCubeのサービス>
1.セキュリティガイド対策の指導
ISO/SAE21434の構成は上図の通りですが、実はすべての項目で従来のIT系セキュリティ規格や既存の自動車安全規格を参照しています。

QualityCubeはすべての規格を満足したセキュリティ対策をアドバイスしていきます。

2.ドキュメント類の監査・修正
ISO/SAE21434ではセキュリティ対策の実装だけでなく、その後の第3者査定、当局、OEMの審査にそなえたドキュメント類の整備が必要です。QualityCubeはお客様の作成したドキュメント監査・修正を行い、必要に応じてドキュメント準備も支援します。

詳しくは「自動車のサイバーセキュリティガイド」をダウンロードして下さい。

3.セキュリティテストの実施・支援
QualityCubeではV-モデルの右側、統合と検証でのセキュリティテストの実施、支援も行い、サイバーセキュリティの妥当性確認をしていきます。
・サイバーセキュリティ目標の妥当性
・運用環境における項目およびサイバーセキュリティ要件の完全性、一貫性、正確性、妥当性
・アイテムのサイバーセキュリティ目標の達成、サイバーセキュリティクレームの妥当性

4.組織体制の構築

5.運用設計の代行

関連資料、「自動車のサイバーセキュリティガイド」ではISO/SAE21434の関連規格も含めて、詳しい製品開発ガイドについて説明しています。

自動車サイバーセキュリティガイドはこちらからダウンロード可能です↓

<情報セキュリティ講座>
サイバーセキュリティは情報セキュリティの一部です。まずは、下記のセキュリティ講座(eラーニング)でISO27001も含めた情報セキュリティの基礎を学ばれることをお勧めします。アメリカのパイプライン事例でのランサムウェアの仕組みや対策についても説明しています。企業様でまとめ受講をされる場合のディスカウントも整えていますので、お気軽にお問い合わせください。

情報セキュリティコース学習タイプ学習時間(目安)価格(1人/月)
セキュリティ講座eラーニング80分3,300円(税込)