自工会/部工会・サイバーセキュリティガイドラインの概要、要求事項、評価方法を解説

100年に一度の大変革時代の到来を背景に、モビリティ社会実現に取り組む自動車業界。CASEと呼ばれる技術革新の一方、業界全体のサイバー攻撃リスクは深刻化しています。 本記事では、自動車業界を取り巻くサイバー攻撃リスクや、自工会/部工会・サイバーセキュリティガイドラインの概要、要求事項、評価を解りやすく解説します。

自動車産業を取り巻くサイバー攻撃のリスク

Connected（コネクテッド）、Autonomous（自動運転）、Shared & Services（カーシェアリングとサービス）、Electric（電気自動車）といった「CASE」の加速化により、大変革期を迎えている自動車業界。この技術革新の一方で、部品メーカーが次々にサイバー攻撃を受けるなど、サイバー攻撃リスクは自動車産業全体で深刻化しています。ここでは、自動車産業を取り巻くサイバー攻撃リスクを紹介します。

自動車メーカーを襲ったサイバー攻撃例

2020年6月、本田技研工業株式会社は、大規模なネットワーク障害が発生したことを発表しました。

具体的には、社内サーバーに外部から侵入したウィルスが拡散し、海外工場11拠点の生産停止に見舞われています。一方、国内では、サイバー攻撃の直後に4工場で「完成車検査システム」が稼働せず、一時出荷を見合わせたものの、同日復旧し、生産自体への影響は発生していません。朝日新聞の取材によると、被害状況などから身代金ウィルスといわれるランサムウェアが全社的に広まったと見られています。

参考：「ホンダ、サイバー攻撃被害認める 身代金ウイルス拡大か」- 朝日新聞デジタル

部品メーカーの被害で自動車メーカーが生産停止した例

2022年2月、自動車部品メーカーの小島プレス工業株式会社がサイバー攻撃を受け、取引先各社の工場稼働に影響を及ぼしました。そのうち、納入先のトヨタ自動車株式会社は、同年3月1日、国内全工場の稼働停止を余儀なくされています。

このサイバー攻撃は、子会社におけるリモート接続機器の脆弱性が起因して、親会社である小島プレス工業株式会社が身代金要求型ウイルス「ランサムウェア」による攻撃を受けたものです。 このサイバー攻撃例は、在庫を抑えるため、必要なときに必要量だけを調達する「ジャスト・イン・タイム方式」のサプライチェーンにおけるサプライヤー攻撃のリスクが露呈したケースです。

参照：「トヨタの工場を止めたサイバー攻撃 サプライチェーン攻撃のリスクが露呈」- 日経BP

自工会/部工会・サイバーセキュリティガイドラインの概要

自動車産業は、CASEの加速化の一方、多くの情報システムがインターネットにつながることでサイバー攻撃の脅威が増しています。とりわけ、標的企業を狙うためのサプライチェーン攻撃など、サイバーセキュリティリスクは深刻化している状況です。 ここでは、こうしたサイバーセキュリティリスク対策として作成され、2022年3月31日にV2.0への改訂を経て2023年9月1日改訂された「自工会/部工会・サイバーセキュリティガイドラインV2.1」の概要を解説します。

参考：「自工会/部工会・サイバーセキュリティガイドライン2.1版」- 日本自動車工業会（ＪＡＭＡ）・日本自動車部品工業会（ＪＡＰＩＡ）

知っておくべき自工会/部工会・サイバーセキュリティガイドライン策定の背景と目的

WP29サイバーセキュリティ法規が段階的に義務化！？自工会/部工会・サイバーセキュリティガイドライン策定の背景

2021年1月、国連の下部組織であるWP29（World Forum for Harmonization of Vehicle Regulations：自動車基準調和世界フォーラム）で、サイバーセキュリティ法規「UN-R155」が発効されました。これにより、日欧では2022年7月以降に発売される一部の車両から順に、サイバーセキュリティーの認証が必要となっています。

参考：UN Regulation No. 155 - Cyber security and cyber security management system | UNECE

こうした背景から、自動車業界として統一したサイバーセキュリティ対応が要求される一方、経済産業省からはサプライチェーンのセキュリティレベル向上を目的に「サイバー・フィジカル・セキュリティ対策フレームワーク」が提示された背景があります。

参考：サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）とその展開 - 経済産業省

自工会/部工会・サイバーセキュリティガイドラインの目的

自動車業界全体におけるサイバーセキュリティのレベルアップやそのレベルの効率的な点検を推進することを目的に、自工会/部工会・サイバーセキュリティガイドラインは策定されています。具体的には、サプライチェーン全体に求められる自動車産業固有のサイバーセキュリティリスクを考慮した「向こう 3 年の対策フレームワーク」や「業界共通の自己評価基準」を明示することで、サイバーセキュリティのレベルアップを目指しています。

ガイドラインの対象範囲

ガイドラインの想定読者

ガイドラインは、自動車産業全ての会社を対象とし、次のようなセキュリティ関係部門の責任者、担当者向けに策定しています。
・ CISO （最高情報セキュリティ責任者）
・ リスク管理部門
・ 監査部門
・ セキュリティ対応部門
・ 情報システムの開発/運用部門
・ データマネジメント部門
・ サプライチェーンの管理責任を負う購買や調達部門
・ その他のセキュリティに関わる部門（人事・法務・総務）

ガイドラインの対象領域

2023年9月1日の2.1版におけるガイドラインの対象領域は、企業全体の業務に共通するエンタープライズ領域（会社全体ベースとなるOA環境）です。今後、サプライチェーンのセキュリティ対策として重要な「工場領域」「販売領域」「コネクティッド領域」がガイドラインの対象となる予定です。

セキュリティレベルの定義

ガイドラインは、自動車産業サプライチェーン全体のセキュリティ向上を優先課題として、セキュリティレベルを次のように3段階で定義しています。
・LV1：最低限実装すべき項目
・LV2：標準的に目指すべき項目
・LV3：自動車業界が到達点として目指すべき項目

LV1では、中小企業も含めた自動車業界に属する全ての企業が優先して実施すべき重要項目として位置付けています。また、LV2では、サプライチェーンにおいて「社外の機密情報を取り扱う企業」や「重要な自社技術・情報を取り扱う会社、」、LV3では、「業界を代表し牽引べき立場の企業」など、取り扱う情報や立場によって、レベル分けしています。

5つの分類と24のラベルと要求事項

ガイドラインの構造は、24のラベルの下、それぞれ153の項目に達成条件が定められています。 ここでは、付録「チェックシート V2.0(日本語版)」における次の5つの分類に分けて、要求事項の概要を解説します。
ここでは、次の5つの分類に沿って要求事項の概要を解説します。

【1】共通
【2】守る対象を明確にし、リスクを特定する（特定）
【3】攻撃を防ぐ対策実施(防御)
【4】攻撃されたことを迅速に知るために(検知)
【5】検知被害の対応と修復(対応・復旧)

参考：「自工会/部工会・サイバーセキュリティガイドライン2.1版(2023年9月1日公開)」「付録：チェックシート V2.1(日本語版・2023年9月1日公開)」- 日本自動車工業会（ＪＡＭＡ）・日本自動車部品工業会（ＪＡＰＩＡ）

【1】共通

この分類では、方針やルール、平時や有事の体制や手順、日常の教育まで、サイバーセキュリティの組織体制に関する要求事項を次のとおり定めています。

1.方針
2.機密情報を扱うルール
3.法令順守
4.体制(平時)
5.体制(事故時)
6.事故時の手順
7.日常の教育

【2】守る対象を明確にし、リスクを特定する（特定）

この分類では、他社とのセキュリティ要件やアクセス権の設定のほか、情報資産の適切な管理とリスクの特定、社内ルールなどを定めています。要求事項は次のとおりです。

8.他社との情報セキュリティ要件
9.アクセス権
1.0情報資産の管理(情報)
11.情報資産の管理(機器)
12.リスク対応
13.取引内容・手段の把握
14.外部への接続状況の把握
15.社内接続ルール

【3】攻撃を防ぐ対策実施(防御)

この分類では、サイバー攻撃を防ぐための物理セキュリティや通信制御のほか、情報システムなどへの認証対策やパッチ対策、データの保護対策に関することを要求事項としています。

16.物理セキュリティ
17.通信制御
18.認証・認可
19.パッチやアップデート適用
20.データ保護
21.オフィスツール関連

【4】攻撃されたことを迅速に知るために(検知)

この分類では、セキュリティの異常を素早く検知するためのマルウェア対策や不正アクセスを常時監視する体制などを設定しています。要求事項は次のとおりです。

22.マルウェア対策
23.不正アクセスの検知

【5】検知被害の対応と修復(対応・復旧)

この分類では、サイバー攻撃の被害を最小限に抑えるためのバックアップ体制や復元の手順に関する要求事項を次のとおり定めています。

24.バックアップ・復元(リストア)

ガイドラインの活用法

ガイドラインは、自動車産業のサプライチェーン全体で、セキュリティ対策に抜け漏れがないかを洗い出し、組織のセキュリティ向上を目指すことを目的に策定されています。ここでは、ガイドラインの活用法を解説します。

参考：一般社団法人日本自動車工業会：「付録：チェックシート V2.1(日本語版)」

【1】企業におけるセキュリティポリシーの策定及び対策の実装

公開している「自動車産業 セキュリティチェックシート(V2.1)」は、自社のセキュリティ対策状況を自己チェックし、効率的に対策を洗い出せるチェックシートです。
ここに示す要求事項や達成基準を参考にすることで、自社が行うべきサイバーセキュリティ対策を洗い出すことができます。また、項目をレベルで分けて記載していますので、自社のセキュリティレベルに合わせた施策を講じることが可能です。

【2】自動車産業における信頼のチェーン構築への活用

自社の調達先や協力会社などのサプライヤーに対し、ガイドラインを活用することで、セキュリティ実装状況を確認することが可能です。サプライヤーのセキュリティレベルに合わせてマネジメントするなど、自動車産業企業間の取引におけるセキュリティ信頼チェーンの構築を実現できます。

【3】企業におけるセキュリティの教育・訓練・啓発活動への活用

自社のセキュリティ状況を把握するとともに、サイバーセキュリティに関する「教育」「訓練」「啓発活動」に活用することが可能です。自社に求められるセキュリティレベルを明らかにし、対応すべきサイバーセキュリティ対策の教育に役立てることができます。

まとめ

本記事では、自動車業界を取り巻くサイバー攻撃リスクや自動車工業会セキュリティガイドラインの概要、要求事項、評価を解りやすく解説しました。
日欧では、2022年7月からサイバーセキュリティーの認証が必要となっているように、自動車業界全体でサイバーセキュリティ対策を行うことが不可欠です。
本記事を参考に、自工会/部工会・サイバーセキュリティガイドラインを活用して、自社のサイバーセキュリティ対策を加速化させましょう。

▼関連記事
サプライチェーン攻撃とは？セキュリティ対策のポイント