全4001文字

クルマのソフト開発で避けて通れないのが、サイバーセキュリティーの対策である。これまでは自動車メーカー各社が個別に対策してきたが、いよいよ2022年から欧州で義務化される方向だ。新規格「ISO/SAE 21434」に準拠するクルマでないと、型式認証を取得できず、欧州で販売できなくなる。残された時間は少なく、対応は待ったなしの状況だ。

 クルマのサイバーセキュリティー対策が、2022年から欧州で義務化される方向になった(図1)。この規制は国際連合欧州経済委員会(UNECE)の「自動車基準調和世界フォーラム(WP.29)」で策定中のものである。型式認証の要件にセキュリティーの項目を盛り込むため、欧州でクルマを販売する自動車メーカーにとっては対応が必須となる。

図1 22年から欧州でセキュリティーが義務化される
図1 22年から欧州でセキュリティーが義務化される
欧州で22年に始まるセキュリティーの義務化は、まずは組織やプロセスの整備状況を問う内容になりそうだ。ただし、24年からはその体制下で開発されたクルマが求められる。(作成:日経Automotive)
[画像のクリックで拡大表示]

 規制の背景には、コネクテッドカーや自動運転車に対するサイバー攻撃のリスクが高まっていることがある。これまでも欧米フィアット・クライスラー・オートモービルズ(FCA)の「ジープ(Jeep)」や、米テスラ(Tesla)の電気自動車(EV)へのサイバー攻撃の事例が報告されてきた。車両を外部から遠隔操作されるなど、人命に直結するリスクが指摘されている。

 欧州では22年以降、新車へのコネクテッド機能の搭載が義務化される方向である。コネクテッドカーを通じてデータの利活用を進める狙いだが、サイバー攻撃を受けるリスクが増大する。このため、欧州ではWP.29の型式認証にサイバーセキュリティー対策を盛り込むことで、強制的に対策を促す考えだ。

 この規制は欧州に限らず、WP.29に準拠する日本や韓国、ロシアなど50以上の国や地域に広がるとみられる(図2)。世界最大の自動車市場を持つ中国や北米はWP.29に準拠していないものの、WP.29とほぼ同等の規制を独自に導入する方向である。

図2 世界に広がる可能性
図2 世界に広がる可能性
緑で示したのが、UNECEの1958年協定の締約国で、WP.29に準拠する。欧州はもちろん、日本や韓国、ロシアなどが含まれる。北米と中国は入っていないが、同様の規制を作るとみられる。(出所:UNECE)
[画像のクリックで拡大表示]

新規格「ISO/SAE 21434」

 WP.29の型式認証では、自動車メーカーはサイバーセキュリティーに関する要件「CSMS(Cyber Security Management System)」とソフト更新に関する要件「SUMS(Software Update Management System)」を満たし、「CSMS証明書」「SUMS証明書」を審査会社に提出することが求められる(図3)。サイバーセキュリティーは日進月歩で進化するため、無線で車載ソフトウエアを更新するOTA(Over The Air)とセットで態勢を整える必要がある。

図3 WP.29の型式認証の仕組み
図3 WP.29の型式認証の仕組み
自動車メーカーはCSMS証明書とSUMS証明書を、TUVなどのテクニカルサービスに提出し、認証団体から型式認証を取得する。(日本シノプシスの資料を基に日経Automotiveが作成)
[画像のクリックで拡大表示]

 CSMSやSUMSの具体的な中身については、国際標準化機構(ISO)と米自動車技術会(SAE)が共同で策定中の国際標準である「ISO/SAE 21434」を参照する必要がある。すなわち、WP.29の型式認証を取得するためには、ISO/SAE 21434への準拠が求められる。その対象は自動車メーカーや1次部品メーカー(ティア1)だけでなく、ECU(電子制御ユニット)に関わる2次以降の部品メーカーも含まれる見通しである。

 ISO/SAE 21434はドラフト案(Draft International Standard、DIS)が20年2月に公開された。現在は最終レビュー中であり、「問題がなければ20年後半、何らかの更新があった場合には21年初頭に最終版が出る」(日本シノプシス プリンシパルオートモーティブセキュリティストラテジストの岡デニス健五氏)という。