自動車産業における業界横断的サイバーセキュリティ戦略の現状と展望

自動車産業は、コネクテッドカーや自動運転技術の進展に伴い、サイバー攻撃の脅威が従来のITシステムとは異なる次元のリスクを抱えるようになりました。ここでは、業界全体で取り組むべきサイバーセキュリティ戦略の最新動向を、ガイドライン策定・技術標準化・人材育成・国際連携の観点から包括的に分析します。

1．業界横断協力の必要性とその背景

自動車産業のサプライチェーンは、部品メーカーからソフトウェアベンダーまで数百社が関与する複雑な構造を有しています。2022年2月のトヨタ自動車サプライヤーである小島プレス工業への攻撃事例では、取引先1社のランサムウェア感染が国内全工場の稼働停止を引き起こしました。このように、自動車産業界を取り巻くサイバーセキュリティリスクは深刻化していることから、日本自動車工業会（JAMA）と日本自動車部品工業会（JAPIA）は2020年に策定したサイバーセキュリティガイドラインを2023年9月にV2.2へ改訂13、業界全体で対策レベルを底上げする枠組みを強化しています。

攻撃対象の多様化が進む中、電気自動車（EV）充電インフラへの攻撃やテレマティクスサーバー標的型攻撃など、新たな脆弱性が顕在化しています。これらの脅威に対応するため、業界に特化した脆弱性データベース「AutoVulnDB」が2024年6月にVicOneとASRGにより立ち上げられました。従来のCVEデータベースを補完する自動車業界特化型DBとして、設計段階からのリスク評価を可能にしています。

2．ガイドライン策定と標準化の進展

2020年3月、日本自動車工業会と日本自動車部品工業会が共同でセキュリティガイドラインの初版を策定しました。その後、このガイドラインは2022年3月に2.0版に改訂されました。このガイドラインは、業界全体のセキュリティ基準を「Lv1（最低限）～Lv3（最高水準）」で明確化し、153項目の達成条件を設定しています。特に注目すべきは、サプライチェーン全体を対象とした階層型アプローチです。主要部品メーカーはLv3（全項目達成）を目指す一方、中小企業ではLv1（基本項目）からの段階的対応を促しています。この枠組みはISO/SAE 21434規格と整合性を保ちつつ、日本市場の特性を反映した実践的な内容となっています。

以上のことは、サプライチェーン攻撃対策では、自動車メーカーから部品サプライヤーまでの全ての階層を守る「多層防御」が不可欠であることに対応しています。

階層は以下のようになっています。

    Tier 1: 自動車メーカーに直接部品を供給する大手サプライヤー

    Tier 2: Tier 1に部品を供給する中堅サプライヤー

    Tier 3: さらに小規模な部品メーカーや素材供給業者

この階層構造全体を守ることが重要な理由は、以下の通りです：

1. 攻撃者は最も脆弱な部分を狙う傾向があり、それは往々にして下位層のサプライヤーです。

2. 1社でも攻撃を受けると、その影響が連鎖的に上位層に波及し、最終的に完成車の生産に支障をきたす可能性があります。

3. データや設計情報は階層間で共有されるため、1箇所の漏洩が全体のセキュリティを脅かします。

   
   

したがって、各層で適切なセキュリティ対策を講じ、さらに層間の連携を強化することで、サプライチェーン全体の防御力を高めることが求められています。

国際的な動向では、UN R155規制が2021年1月22日に発効し、2022年7月から新車種の型式認定取得にCSMS（Cyber Security Management System）の構築が必須となりました。これに対応するため、国内メーカー各社はVSOC（車両セキュリティオペレーションセンター）の整備を加速させています。UDトラックスでは、VicOneの次世代VSOCプラットフォーム「xNexus」を導入し、UN-R155に準拠したリアルタイムの車両情報監視と迅速な対応を実現しています。

3．技術開発と実証の最新動向

車載セキュリティ技術の進化において注目すべきは、HSM（Hardware Security Module）の高度化です。パナソニックは、自動車向けのサイバーセキュリティ対策として、侵入検知・防止システムを開発しています。このシステムは、インターネットからの攻撃を早期段階で検知し、さらに車載ネットワークへの侵入を二次的に検知する機能を持っています。

パナソニックの開発するセキュリティシステムは、広く使用されているCAN（Controller Area Network）だけでなく、将来的に普及が期待されるイーサネットにも対応しており、車両全体への侵入を包括的に検知することができます。また、クラウド上で複数の車両から情報を収集することで、真のセキュリティインシデントとして特定される前に攻撃を検知することが可能です。

2024年10月には、VERZEUSEというブランド名で自動車向けサイバーセキュリティ技術の拡張が発表されました。この技術は、車両のライフサイクル全体（設計、実装、評価、生産、運用）にわたるセキュリティニーズに対応するものです。

4．人材育成と組織体制の構築

自動車セキュリティ人材の不足は業界全体の課題となっています。これに対し、パナソニック オートモーティブシステムズは2024年10月1日、企業内大学「PAS University」を設立しました。この取り組みでは、新規採用の技術人材に体系的かつ実践的なソフトウェア技術の学びの場を提供するとともに、各技術領域における既存の技術者の育成強化やスキルアップデートの機会を提供しています。

教育機関との連携については、自動車技術会が主催する「自動車サイバーセキュリティ講座」が開催されました。このプログラムでは、自動車のサイバーセキュリティ概論や脅威事例、開発プロセスや要素技術を学ぶことができます。

また、経済産業省は「第四次産業革命スキル習得講座認定制度」を実施しています。この制度では、ITやIT利活用分野の講座を認定しており、自動車関連では自動車モデルベース開発や自動運転などが対象分野に含まれています。

これらの取り組みを通じて、自動車業界におけるサイバーセキュリティ人材の育成が進められています。

5．サイバーリスクに対応した保険サービス

サイバーリスクの経済的影響を軽減する新たな手法として、保険商品の開発が進展しています。VicOneは東京海上日動と提携し、2025年頃を目標に自動車サイバーセキュリティ分野における保険・サービスの共同研究・開発を進めることに合意しました。この協業では、「車載インフォテインメント（IVI）向け」、「VSOC（車両セキュリティオペレーションセンター）向け」、「EV充電向け」等を対象にした商品・サービスの共同開発を予定しています。

この協業によるサービスは、コネクテッドカーの普及と進化に伴い高まると予想される脅威に対応し、自動車業界が車両の安全設計開発および市場での安全性を担保できる環境づくり、そして車両所有者や利用者がより安全にデジタルライフを楽しめる環境づくりに貢献することを目指しています。

他にも、自動車向けサイバーセキュリティ保険の動向については、以下のような動きがあります。

HSBは2024年にCyber for Auto保険を発表しました。これは個人車両所有者向けのサイバー保険で、サイバー攻撃、ランサムウェア、個人情報盗難などをカバーし、車両に保存されたデータや接続されたアプリを保護します。

6．国際連携と規制対応の動向

国際的な自動車サイバーセキュリティ標準化において、ISO/SAE 21434が重要な役割を果たしています。この標準は、自動車のライフサイクル全体にわたるサイバーセキュリティリスク管理のための工学的要件を規定しています。2021年8月に発行されたISO/SAE 21434は、国際標準化機構（ISO）と自動車技術者協会（SAE）が共同で開発した規格で、自動車の電気・電子（E/E）システムにおけるサイバーセキュリティの観点を包括的に扱うことを主な目的としています。

この標準は、自動車の概念設計から廃棄に至るまでの全ライフサイクルをカバーしており、リスク評価、脅威の特定、サイバーセキュリティ監視、インシデント対応計画など、様々な側面を網羅しています。ISO/SAE 21434の特徴として、リスクベースアプローチの採用、組織全体でのサイバーセキュリティ文化の醸成、継続的なモニタリングと更新の要求、サプライチェーン全体の管理、そして業界全体での共通言語の確立が挙げられます。

この標準の採用により、自動車メーカーやサプライヤーはセキュアな管理プロセスの維持、潜在的な脅威の軽減、運用効率の向上、コスト削減、高度なサイバーセキュリティへの取り組みの実証といった利点を得ることができます。特に、UN-R 155（UNECE規則No.155）との密接な関連性から、2024年7月以降はサイバーセキュリティ管理システム（CSMS）の適合性証明と製品のサイバーセキュリティの型式認証が要求されることになり、その重要性がさらに高まっています。

7．まとめ

自動車産業におけるサイバーセキュリティの重要性が急速に高まっています。この背景には、複雑化するサプライチェーン、攻撃対象の多様化、そして国際的な規制の強化があります。

業界全体での対応として、日本自動車工業会（JAMA）と日本自動車部品工業会（JAPIA）が共同でセキュリティガイドラインを策定し、定期的に更新しています。このガイドラインは、サプライチェーン全体を対象とした階層型アプローチを採用し、企業規模に応じた段階的な対応を促しています。

技術面では、HSM（Hardware Security Module）の高度化や、パナソニックによる包括的な侵入検知・防止システムの開発など、先進的な取り組みが進んでいます。また、VicOneとASRGによる自動車業界特化型の脆弱性データベース「AutoVulnDB」の立ち上げも、業界全体のセキュリティ向上に貢献しています。

人材育成においては、企業内大学の設立や、業界団体による講座の開催、さらに経済産業省による認定制度など、多角的なアプローチが取られています。

保険分野では、VicOneと東京海上日動の提携による新たな保険サービスの開発や、HSBによる個人向けサイバー保険の提供など、リスク軽減のための新たな選択肢が生まれています。

国際的には、ISO/SAE 21434やUN R155（UNECE規則No.155）といった規格や規制が、業界全体のセキュリティ基準を引き上げる役割を果たしています。これらの規制は、サイバーセキュリティ管理システム（CSMS）の構築を義務付けるなど、包括的なアプローチを要求しています。

これらの取り組みにより、自動車産業は複雑化するサイバーセキュリティの課題に対し、技術、人材、制度の面から総合的に対応しようとしています。