全6095文字

 2021年1月に国連欧州経済委員会(UN/ECE)の下部組織である「自動車基準調和世界フォーラム」からサイバーセキュリティー法規「UN-R155」が発効された。これによって欧州や日本では2022年7月以降に発売される一部の車両から順に、サイバーセキュリティー対策が施されていない車両への規制が始まる。UN-R155を満たすためには、2021年8月に発効された自動車サイバーセキュリティー規格「ISO/SAE 21434」への準拠が必要になる。

 UN-R155とISO/SAE 21434とはどのようなものなのか。今後、自動車メーカーやサプライヤーは何をすべきなのか。「日経クロステックラーニング」で「徹底解説!自動車のセキュリティーISO/SAE 21434」の講座を持つヴィッツ 先進CPS技術開発部部長代理の杉山歩氏に聞いた。

ヴィッツ先進CPS技術開発部部長代理の杉山歩氏
ヴィッツ先進CPS技術開発部部長代理の杉山歩氏

自動車のサイバーセキュリティー法規「UN-R155」が2021年1月に施行されました。これはどういうものなのでしょうか。

杉山氏:UN-R155は自動車に対してサイバーセキュリティー対策を義務付ける法規です。自動車には質量や最小回転半径、ブレーキの性能、噴射装置の排ガスに含まれる二酸化炭素の量など、さまざまな装置に関する保安基準があります。その保安基準に新たにサイバーセキュリティーシステムが追加されました。今後、この法規の適用が開始されると、基準を満たさない自動車は日本や欧州で販売許可が下りなくなります。

UN-R155はいつから適用されるのでしょうか。

杉山氏:段階的に規制が始まる流れになっています。まず無線通信経由で車の制御プログラムを書き換える「OTA(Over The Air)」機能に対応する新型車については、2022年7月から規制が開始されます。OTA非対応で、新たに国土交通省に新車販売の届け出を出す自動車は、2024年1月からこの法規の対象になります。

 既に届け出を出しており、その内容に従って生産をしている「継続生産車」は、2026年5月までに、マイナーチェンジを行うなどしてサイバーセキュリティー対策を施す必要があります。

サイバーセキュリティー対策とは具体的にどのようなものでしょうか。

杉山氏:対策として要求されるのは大きく2つです。1つ目は、自動車メーカーに対してサイバーセキュリティー管理システム「CSMS(Cyber Security Management System)」の構築が義務付けられます。

 CSMSとは、自動車メーカーや部品メーカーなどが社内に作るサイバーセキュリティーを管理するためのルールおよびそれを順守するための仕組みです。

 2つ目としては、構築したCSMSに従って、車両への具体的なサイバーセキュリティー対策の実装が義務付けられます。これら2つの要件は、当局(日本では国土交通省)が自動車の型式認証の中で、他の保安基準とともにチェックします。

* 型式認証:自動車メーカーが新たに自動車を生産・販売する際に、その自動車が求められる技術要件や安全性などを満たしていることを示す認証。国土交通大臣に申請・届け出を行い、保安基準の適合性などについて審査を受ける。

サイバーセキュリティー対策を規格化した「ISO/SAE 21434」

ISO/SAE 21434はどういうもので、何を定めているのでしょうか。

杉山氏:UN-R155によって構築を義務付けられたCSMSを作るための国際標準です。UN-R155には要求事項が書かれており、その実現手段を記述してあるのがISO/SAE 21434という規格です。

 自動車にはレーダーやカメラ、通信デバイス、それらを制御するECU(電子制御ユニット)など、さまざまな電子機器が搭載されています。こうした自動車関連部品・製品の企画・開発や製造、販売、使用、廃棄までのライフサイクル全般において、どのようにサイバーセキュリティー対策を施すべきかを記しています。

 例えば、ECUや通信デバイスが外部からどのような不正アクセスを受ける恐れがあるのか、その際にどのような影響があるのかを、製品の企画・開発段階で洗い出し、事前にセキュリティー対策を施します。

不正アクセスを受けると、具体的にはどのような被害が出るのでしょうか。

杉山氏:最も有名になったのが、2015年に起きた米FCA(旧Chrysler)が製造した四輪駆動車チェロキーの遠隔ハッキング事件です。多くのカーナビゲーションシステムには3G(第3世代移動通信システム)や4G/LTE(第4世代移動通信システム)などの通信モジュールから無線LAN(Wi-Fi)、Bluetoothなどの無線通信インターフェースが搭載されていますが、チェロキーは3G通信モジュールから不正に侵入され、自動車が遠隔制御されてしまったのです。

 オートパイロットや駐車支援などのシステムを搭載している自動車の場合、運転手の操舵(そうだ)ではなく、自動車側のシステムで操舵やアクセル、ブレーキなどを制御できます。システムが操舵する機能を持つ自動車に対して、外部から不正に操られる危険性があります。

サイバーセキュリティーと聞くと、情報漏洩対策を思い浮かべますが、不正な操作による事故の防止策なんですね。

杉山氏::そうです。主に自動車に乗る人や、道路を歩いている人など自動車の近くにいる人に危害が及ばないようにするのを目的にした対策です。