安全で信頼性の高いコネクテッドカーや自動運転技術の実現において、自動車産業のサイバーセキュリティ対策が求められるわけ

安全で信頼性の高いコネクテッドカーや自動運転技術の実現において、自動車産業のサイバーセキュリティ対策が求められる理由は多岐にわたります。まず、自動車業界でセキュリティ対策の重要性が高まっている背景には、CASE技術の進展に伴う自動車のIoT化があります。車両がインターネットと常時接続するようになり、ICT端末としての機能を持つようになったことで、従来の自動車の概念が大きく変化しました。これにより、新たなビジネスの拡大や社会課題の解決が期待される一方で、サイバーセキュリティの課題が浮上しています。

■自動車産業のサイバーセキュリティ被害

実際に、トヨタ自動車やマツダなどの大手自動車メーカーでもサイバー攻撃の被害が発生しており、ランサムウェア攻撃による生産ライン停止など、業務への重大な影響が報告されています。特に、サプライチェーンを狙った攻撃が増加しており、部品メーカーへのランサムウェア攻撃が大手自動車メーカーの生産ラインを一時停止に追い込むなど、業界全体に影響を及ぼす事態が発生しています。

特に注目すべき事例として、以下が挙げられます。

近年、日本の大手自動車メーカーがサイバー攻撃の標的となり、深刻な被害を受けています。特に注目すべき事例として、トヨタ自動車とマツダの被害が挙げられます。

2022年2月末、トヨタ自動車の主要取引先である小島プレス工業がランサムウェア攻撃を受けました。この攻撃により、小島プレス工業の社内サーバーに障害が発生し、部品の受発注システムが使用不能となりました。その結果、トヨタ自動車は2022年3月1日に国内全14工場28ラインの稼働を停止せざるを得なくなりました。この1日の稼働停止だけで、約1万3千台以上の車両生産に遅れが生じ、業界全体に大きな衝撃を与えました。攻撃の影響は深刻で、小島プレス工業のシステムの完全復旧には1〜2週間ほどかかると見込まれ、その間は暫定的に構築したシステムとネットワークを利用して業務を継続せざるを得ませんでした。

一方、マツダも2023年7月24日に外部からの不正アクセスによる被害を受けました。マツダのサーバーで不審な通信が検知され、調査の結果、同社がアカウント情報を管理しているシステムへの不正アクセスが確認されました。この攻撃により、社員、協力会社社員、取引先担当者など、計104,732件分の個人情報が流出した可能性が明らかになりました。流出したデータには、ID・パスワード、名前、電話番号、メールアドレス、会社名などが含まれていました。マツダはこの事態を重く受け止め、セキュリティ体制の改善と監視体制の強化に取り組むとしています。

これらの事例は、自動車産業全体がサイバーセキュリティの脅威に直面していることを示しています。特に、サプライチェーン全体を通じたサイバー攻撃のリスクが顕在化しており、一社の脆弱性が業界全体に影響を及ぼす可能性があることが明らかになりました。このような状況を受けて、自動車業界では、サイバーセキュリティ対策の強化が急務となっており、業界全体でのセキュリティレベルの向上が求められています。

■コネクティッドカーのサイバーセキュリティに関するリスクの事例

コネクテッドカーのサイバーセキュリティ被害は、近年増加傾向にあり、自動車業界にとって重大な課題となっています。具体的な被害事例や潜在的なリスクには以下のようなものがあります：

2015年、セキュリティ研究者のチャーリー・ミラーとクリス・ヴァラセクが、Jeep Cherokeeの無線通信サービス「Uconnect」を介してECU（Electronic Control Unit）を攻撃し、エンジンやステアリング、ワイパーを遠隔操作できることを実証しました。この事態を受け、FCA社は大規模なリコールを実施することとなりました。

2016年には、中国のKeen Security Labが初めてTesla車両のCAN busを遠隔で侵害することに成功しました。その後も2019年のPwn2Own大会でTesla Model 3のインフォテインメントシステムが攻撃され、2020年にはModel Xのブルートゥースキーフォブがハッキングされるなど、Teslaを標的とした攻撃が相次いでいます。

これらの事例以外にも、コネクテッドカーは以下のようなサイバー攻撃のリスクに直面しています。

1. 個人情報の窃取：車両に保存されているユーザーデータが盗まれる可能性があります。

2. 車両制御の乗っ取り：ハッカーが遠隔で車両の制御システムにアクセスし、ブレーキやステアリングを操作する危険性があります。

3. ランサムウェア攻撃：車両システムをロックし、解除と引き換えに身代金を要求する攻撃が懸念されています。

4. DDoS攻撃：交通システムや車両のネットワークを標的としたサービス妨害攻撃の可能性があります。

5. なりすまし攻撃：正規のシステムや機器になりすまして不正なコマンドを送信する攻撃が考えられます。

これらの脅威に対応するため、自動車業界では国連欧州経済委員会（UNECE）のUN-R155/156や国際標準規格ISO/SAE21434に基づいたサイバーセキュリティ対策の強化が進められています。また、多層的なセキュリティアプローチや、車両セキュリティオペレーションセンター（VSOC）の設置など、包括的な防御策の導入が求められています。

■自動車産業サイバーセキュリティガイドラインとは

このような状況を背景に、日本自動車工業会（JAMA）と日本自動車部品工業会（JAPIA）は、2020年3月に「自動車産業サイバーセキュリティガイドライン」を策定しました。このガイドラインは、自動車メーカーやサプライチェーンを構成する各社に求められる自動車産業固有のサイバーセキュリティリスクを考慮した対策フレームワークや業界共通の自己評価基準を提供することを目的としています。

ガイドラインは全153項目の点検項目で構成され、3つのセキュリティレベル（レベル1〜3）が設定されています。対象範囲は、情報セキュリティ方針とルール、セキュリティ体制、従業員教育、関連会社・取引先のセキュリティ対策、情報資産管理、ネットワークセキュリティ、クラウドサービスセキュリティ、マルウェア・不正アクセス対策など多岐にわたります。

このガイドラインに基づくサイバー攻撃対策には、様々な効果が期待されています。まず、自動車産業全体のサイバーセキュリティ対策レベルの向上と、効率的な点検の推進が可能となります。また、サプライチェーン全体のセキュリティレベル向上により、ビジネスサプライチェーン攻撃のリスクを軽減することができます。さらに、従業員のセキュリティ意識向上や、インシデント対応能力の強化にもつながります。

具体的には、車両システムの安全性確保、開発段階からサイバーセキュリティを考慮した設計の実現、ECUなど重要コンポーネントのセキュリティ強化が可能となります。また、サイバー攻撃発生時の迅速な対応体制の構築や、被害の最小化と早期復旧の実現も期待できます。

UN-R155とは

さらに、UN-R155などの国際基準に準拠したセキュリティ対策の実施により、型式認証取得のための要件を充足することができます。これは、自動車業界全体の信頼性向上にもつながり、セキュリティ対策の強化による消費者からの信頼獲得や、自動車産業の持続的な発展に寄与することが期待されています。

UN-R155は、自動車のサイバーセキュリティ対策を義務付ける国際的な法規制です。この法規は、国連欧州経済委員会（UNECE）の自動車基準調和世界フォーラム（WP29）で策定され、2021年1月に発効されました。

UN-R155の主な特徴は以下の通りです：

1. 適用範囲：

   - 2022年7月以降に発売される一部の新型車から段階的に適用

   - 2024年7月以降はすべての新車に適用

2. 要求事項：

   - サイバーセキュリティ管理システム（CSMS）の構築と運用

   - 車両のライフサイクル全体を通じたセキュリティリスク管理

   - サプライチェーン全体でのセキュリティ対策の実施

3. 認証プロセス：

   - プロセス面：自動車メーカーのサイバーセキュリティ体制や仕組みの認証（3年ごとに監査）

   - プロダクト面：認証されたプロセスに沿って車両が開発・生産されていることの実証

4. 技術的基盤：

   - ISO/SAE 21434規格を参照し、具体的なセキュリティ対策の実装方法を提供

UN-R155の適用により、自動車メーカーやサプライヤーは、製品ライフサイクル全般を通じたセキュリティプロセスの構築と対策の実施が求められます。これにより、コネクテッドカーや自動運転技術の進展に伴う新たなサイバーセキュリティリスクに対応し、安全で信頼性の高い自動車の開発・製造を目指しています。

■まとめ

以上のように、自動車産業におけるサイバーセキュリティ対策は、安全で信頼性の高いコネクテッドカーや自動運転技術の実現に不可欠です。業界全体で統一されたサイバーセキュリティ対応を実施することで、新たな技術の恩恵を安全に享受しつつ、潜在的なリスクを最小限に抑えることが可能となります。これにより、自動車産業の持続可能な発展と、安全・安心で豊かなモビリティ社会の実現に寄与することが期待されています。