sec regulations

UNECE WP.29とISO/SAE 21434: 自動車のサイバーセキュリティが直面する新たな課題

今から5年前に、Charlie MillerChris Valasek自動車のITセキュリティに対する世間の関心を劇的な手法で集めることになりました。この2人の米国人ITエキスパートは、エンターテインメントシステム用のインターネット接続を経由して、Jeep Cherokeeのマルチメディアシステムやウインドシールドワイパー、エアコンシステム、ブレーキおよびアクセルの制御を奪い、遠隔制御によってテストドライバーが運転している自動車を高速道路の真ん中で停止させたのです。その結果、Chrysler社は約140万台の車両をリコールしてパッチを当てる必要に迫られました。それ以来、自動車のデジタル化とネットワーク接続の増加に起因する脆弱性を悪用した新たな攻撃の報告は後を断ちません。そして、自動車メーカーやオーナー、道路利用者にとってどのようなリスクが生じるかということも明白になりました。

attack vectors

図1: 潜在的なサイバー攻撃の攻撃ベクトル数は、車両やそのエコシステムのネットワーク接続が増加するにつれて劇的に増大します。

車載サイバーセキュリティの新たな要件

このような理由から、サイバーセキュリティに関する拘束力のある規制や規格を制定するための取り組みがさまざまな国で現在進められています。例えば、米国議会における立法案、EUのサイバーセキュリティ法、中国のICVプログラム、そして日本のJASPARによる新しいガイドラインなどがあります。これらのすべての規制には、

  • サイバーセキュリティへの対策を講じる際の自動車産業固有の要件に重点を置いている、
  • 実環境で車両セキュリティを維持するための要件を定めている、および
  • 規制や型式認証時の試験における義務的性質を強化している、

という3つの主要な傾向があります。

このような流れは、特に車両保護に関する管理システムを初めて明示的に定義している次の2つの規制改革においても顕著になっています。それはUNECE WP.29 TF-CS/OTAおよび間もなく策定されるISO/SAE 21434規格。

UNECE WP.29 TF-CS/OTA

現在、国連の自動車基準調和世界フォーラム(UNECE WP.29)では、新しい車両の型式認証にサイバーセキュリティの実装を求めるという規制案を策定しています。また、サイバーセキュリティと無線の問題に関するタスクフォース(TF-CS/OTA)では、認定サイバーセキュリティ管理システム(CSMSの運用、および型式認証時の特定車種に対するCSMSの適用という2つの主要な要件を提案しています。EUでは、2022年前半の新車両型式でこれらの要件を義務化し、続いて既存のアーキテクチャにそれを拡大する計画を進めています。

自動車業界の通常の開発期間を考慮した場合、メーカーやサプライヤーが次の製品で型式認証を確実に受けられるようにするためには、これらのサイバーセキュリティ要件への対応を今すぐ開始する必要があります。そのためには、リスクベースの手法に基づき、車種、外部インターフェース、および各種のサブシステムに適したリスクレベルを一貫して判断、達成、維持できるようにすることが必要です。つまり、セキュリティ関連の依存関係や、サプライヤー、サービスプロバイダー、およびその他のサードパーティからの情報も考慮に入れなければならないことが明示されています。CSMSへの対応においては、絶えず変化する脅威の環境と車両のライフサイクルの長さを考慮して、量産開始後の段階および車両稼働時の段階で継続的にリスク管理を行うことが特に重視されます。

UNECE regulations

図 2: 認証サイバーセキュリティ管理システム(CSMS)とUNECE規制案WP.29 TF-CS/OTAに準拠した型式認証。

ISO/SAE 21434規格

自動車業界では、TF-CS/OTAと並行して、国際標準化機構(ISO)およびSAE Internationalの枠組み内で、自動車のサイバーセキュリティに関するISO/SAE 21434規格の策定も進めています。WP.29によって規定されるCSMSと同様に、この規格では不可欠な組織に焦点が置かれ、ライフサイクル全体を通じてサイバー攻撃から車両を保護するための適切なプロセスが規定されています。CSMS要件の実装に関わるこの規格が国連規制案の付属文書の時点から一貫して言及されていることを踏まえると、ISO/SAE 21434には特に注目する必要があります。これにより、共通の用語と定義された手段が業界全体に提供され、自動車メーカーやサプライヤーはこれに基づいてインターフェースを構築し、責任やプロセスを共有できるようになります。最終版は2020年末に完成する見込みです。

SHARE THIS

Language:
ISO 9001:2015 Home