全5007文字

 日本の自動車業界にとって自動車(クルマ)へのサイバー攻撃対策が急務となった。2020年6月25日に、国際連合欧州経済委員会(UNECE)の下部組織である「自動車基準調和世界フォーラム(WP29)」が、自動車へのサイバー攻撃対策を義務付ける指針を採択したからだ。2021年1月から施行される。サイバー攻撃対策を施さない自動車は、欧州や日本をはじめ世界で販売できなくなる可能性がある(米国と中国などを除く)。WP29の採択がもたらすインパクトとどのような対策が必要かをヴィッツ 先進CPS技術開発部の杉山歩氏に聞いた。(聞き手は近岡 裕)

自動車へのサイバーセキュリティー対策が必須になったと聞きます。何が起きているのでしょうか。

杉山氏:自動車の基準を作る国連の組織であるWP29が、自動車向けサイバーセキュリティー対策を義務付ける指針を2020年6月末に採択しました。つまり、国際的に拘束力を持つ自動車向けサイバーセキュリティー法規が制定されることが決まった、というわけです。施行されるのは2021年1月から。これにより、少なくとも欧州は2022年ごろに発売される自動車からこの法規制の適用を開始し、2025年までに適用を完了する計画です。

 法規制の適用計画をもう少し具体的に解説しましょう。まず、2022年時点では発売される新型車に対し、①自動車にセキュリティー対策が導入されていること、のみが求められます。その後、2025年には発売される全ての自動車に対して、②サイバーセキュリティーマネジメントシステム(以下、CSMS)に準拠して開発したセキュリティー対策が導入されていること、が求められるようになります。

 このCSMSを構築するための手段が、現在並行して策定が進んでいる自動車サイバーセキュリティー規格「ISO/SAE 21434(以下、ISO 21434)」です。現在(2020年7月6日時点)はドラフト版(DIS版)の段階で、ファイナルドラフト版(FDIS版)を経て、国際規格(IS)化される見込みです。時期については、経済産業省が公開している資料(2019年時点)で「2021年1月」と紹介していますが、少し遅れるかもしれません。

(写真:PIXTA)
(写真:PIXTA)
[画像のクリックで拡大表示]

自動車メーカーがこの対策を実施しなければどうなりますか。

杉山氏:WP29に参加している、いわゆる「1958年協定」に加入している56カ国と1地域(EU)で、新車を販売できなくなる可能があります。欧州市場や日本市場で自動車を販売できなくなれば、相当な痛手です。大市場である米国と中国は対象外となりますが、同様のルールが適用されるとみられており、いずれにせよ、これにより自動車向けサイバーセキュリティー対策は法的に必須となったというわけです。

 そのため、各企業はまず2022年に発売される新型車に対し、何らかのセキュリティー対策を搭載しなければなりません。なおかつ、これと並行して、2025年以降に発売する自動車にISO 21434を適用するための準備を進める必要があります。

 注意しなければならないのは、2025年に発売する自動車の開発が始まるまでには、ISO 21434の適用準備を完了させておく必要があることです。つまり、自動車の開発期間が2年であれば2023年までに、3年であれば2022年までにISO 21434の適用準備を終わらせておかなければなりません。

個々の技術者にも影響が及ぶ

また1つ自動車メーカーが対応しなければならないISOが増えたという印象です。ISO 21434はどれくらいの影響を自動車業界に及ぼすのでしょうか。

杉山氏:対象は、自動車メーカーに限らず、部品メーカーも含まれます。自動車の部品にもサイバーセキュリティー対策が施されていることが求められるからです。しかも、法的な拘束を受けます。実は、この点が機能安全規格「ISO 26262」との大きな違いです。

 確かに、ISO 26262には多くの企業が対応していますが、法規ではないため自己認証でも通用しました。ところが、ISO 21434はWP29が法規で準拠することを求めるものですから、国家が指定した認証機関の審査を受けて認証を取得しなければならないのです。

大きな影響を被るわけですね。ということは、慌てている日本企業がかなりあるのではありませんか。

杉山氏:大手企業でセキュリティーを担当している人はこの動きに敏感に反応し、早く手を打たなければと捉えています。ところが、そうした人は全体の一握り。それ以外の多くの技術者は影響の大きさをよく知らず、何をすればよいか分かっていない状態だと思います。

 自動車業界はIT業界と比べると、これまでハッキングされた機会が少なかったので、「対岸の火事」のように感じている人が多いのかもしれません。しかし、そうした甘い認識はもう通用しなくなります。ISO 21434への対策が必要なのはセキュリティー担当者だけではないからです。自動車やその部品を造る1人ひとりの技術者にも対応が求められます。どういうことかと言えば、サイバーセキュリティー管理の仕組み(プロセス)に合わせて実際に「もの」を造っていく段階で、各技術者はISO 21434の内容を理解し、サイバーセキュリティー対策を織り込みながらさまざまな機能を開発する必要がある、ということです。

 先述の通り、2021年1月に法規が施行されるのですから、それに向けて各企業のセキュリティー担当者はサイバーセキュリティーの取り組みを社内の技術者に広げていかなければならないと思います。