ISO/SAE 21434認証　自動車向けサイバーセキュリティ対策

ISO/SAE 21434が注目される背景

2022年1月、国際連合欧州経済委員会（UNECE）により自動車サイバーセキュリティ規制 UN-R155が策定されました。これによって、自動車メーカーとサプライヤーは、欧州市場において、新型車では2022年 7月以降、継続車両では、2024年 7月から国連協定規則UN-R155 に準拠したすべてのサイバーセキュリティ要件を実装する必要があります。

すなわち、UN-R155の型式認可を取得していなければ、これまで販売してきた認可済型式車両は 2024年 7月以降、欧州市場で新規登録できなくなります。日本市場においても、この規則の導入を含む道路運送車両の保安基準等の改正を2021年 1月 22日より施行しています。

この法規制への適合へ向けた一つの参考指針として、国際標準規格 ISO/SAE 21434:2021が、2021年 8月 31日に発行されました。ISO/SAE 21434に準拠した認証は、UN-R155 要件の実装と法令順守の証明です。

これらの法規制、国際標準規格によると、車両製造業者（OEM）だけでなく、Tier-1、Tier-2などのサプライチェーンの事業者も、サイバーセキュリティの要件を理解し、対応することを必要としています。

そのため、日本においても既に、ビジネスパートナーや委託先、供給元等を含めたサプライチェーン事業者に対して、法規制、国際標準規格に沿った自動車サイバーセキュリティ確保のための取り組みを要請している事業者が数多くいます。しかし一方で、実際に業務に落とし込んでいく際、どこから着手したらいいのか、従来のフローにどう追加すればいいのか、どのようなスケジュールで進めていけばよいのか等、数多くの関係者が現場対応で苦慮しているようです。 

ISO/SAE 21434とは？概要を解説

ISO/SAE 21434は、自動車業界におけるサイバーセキュリティ管理システム（ CSMS ）の国際標準規格です。自動車に搭載されるシステムやデバイスにおけるサイバー攻撃のリスクを最小限に抑えるために、製品企画、設計、製造、生産、保守・運用、廃棄に至るまでのガイドラインが定められています。

具体的には、自動車のシステム設計や開発、テスト、運用、保守において、サイバーセキュリティに関するリスクアセスメントや脅威モデリング、セキュリティ要件の定義、セキュリティテストの実施などが含まれます。 ISO/SAE 21434 の導入により、自動車業界におけるサイバーセキュリティの水準が向上し、自動車の安全性が確保されることが期待されています。

ISO/SAE 21434とISO 26262との違い

ISO/SAE 21434は、サイバーセキュリティの観点から、 ISO 26262 は安全性の観点で定められた規格です。ISO/SAE 21434は、自動車におけるセキュリティの観点から、車両の設計、製造、保守、廃棄におけるリスク管理の方法を定めた規格です。つまり、車両に搭載されたソフトウェアやハードウェアが、外部からの攻撃や不正アクセスに対して適切に保護されるようにするための規格です。一方、ISO 26262 は、自動車における安全性の観点から、車両の設計、製造、保守、廃棄におけるリスク管理の方法を定めた規格です。つまり、車両が安全に運転されるようにするために、車両の機能やシステムが安全性に関する要件を満たしているかを確認するための規格です。

>>【ホワイトペーパー】ISO 26262 規格への準拠～概要から導入事例のご紹介

ISO/SAE 21434の全体構成

1. 適用範囲（Scope）
2. 引用規格（Normative references）
3. 用語、定義および略語（Terms, definitions and abbreviated terms）
4. 一般的な考慮事項（General Consideration）
5. 組織のサイバーセキュリティ管理（Organizational cybersecurity management）
6. プロジェクト依存のサイバーセキュリティ管理（Project dependent cybersecurity management）
7. 分散サイバーセキュリティ活動（Distributed cybersecurity activities）
8. 継続的なサイバーセキュリティ活動（Continual cybersecurity activities）
9. コンセプト（Concept）
10. 製品開発（Product development）
11. サイバーセキュリティ妥当性確認（Cybersecurity validation）
12. 生産（Production）
13. 運用および保守（Operations and maintenance）
14. サイバーセキュリティサポートの終了および廃棄（End of cybersecurity support and decommissioning）
15. 脅威分析およびリスクアセスメント手法（Threat analysis and risk assessment methods）

自動車産業におけるサイバーセキュリティの課題

モビリティ業界のデジタルトランスフォーメーションが続く中、自動車業界はテクノロジー曲線の先を行くために、次の課題に積極的に取り組む必要があります。

1. 進化する業界標準への対応
新しい技術の進歩とサイバー脅威は密接に関連していることが多いため、サイバーセキュリティシステムの管理、脅威分析とリスク評価(TARA)の実施、および発生する可能性のあるインシデントのトラブルシューティングに必要なリソースを投入する必要があります。また、業界で認められた標準に従って製品開発を管理および維持し、顧客の要件を満たしながら安全なバックエンドを介して車両データと機能を送信する必要があります。

2. 国連規則UNECE R155への適合
2021年1月に発効したサイバーセキュリティ管理システム(CSMS)R155とソフトウェアアップデート管理システム(SUMS)R156に関する2つの新しいUNECE規則は、自動車業界の正確なパフォーマンスと監査要件を確立しました。メーカーやその他の自動車関連のサプライヤーは、これらの規制やその他の制度を遵守した上で、セキュリティインシデントを確実に検出し対応する仕組みなど車両全体でドライバーの安全を確保する能力を実証する必要があります。

3.サイバーセキュリティを競争上の優位性として使用する
サイバーセキュリティを無視すると、ビジネスに深刻な損害を与える可能性があります。セキュリティ違反が発生すると、修正にコストがかかるだけでなく評判も悪化し、会社とその製品に対する顧客の信頼が損なわれ、自動車メーカーに壊滅的な打撃を与えます。サイバーセキュリティの問題に積極的に取り組むことで、競争上の優位性を得ることができます。継続的な課題に直面しても信頼性の高い製品と安全なコネクテッドソリューションを提供する機能により、業界での評判を高め、ビジネスチャンスを拡大し、既存顧客との良好な関係性の維持に繋がります。

お問い合わせはこちら

テュフズードの自動車向けサイバーセキュリティサービス

テュフズードは、自動車産業のサイバーセキュリティ対策をサポートしています。当社は、自動車サプライチェーン全体をカバーするISO/SAE 21434プロセスおよび製品認証の提供に加え、UNECE R155およびR156の車両型式承認サービスと長年の業界認証の経験により、公平なアドバイスを提供します。
 
テュフズードのサービスは、製品ライフサイクル全体を通じてセキュア開発プロセスが適切に運用されていることを保証します。効果的な技術的セキュリティ対策は、関連するサイバーセキュリティ規制、規範、および推奨事項に従って開発され、適切なサイバーセキュリティガバナンスと管理が実装されていることです。
 
テュフズードは、1,000以上の拠点に26,000人以上の従業員を擁するグローバルネットワークにより、リスクの最小化から国際標準化委員会へのアクセスまで、適切なサービスを提供することができます。