「自社が開発している車載システムがサイバー攻撃を受ける可能性を認識しながらも、その危険性を社内で報告できない」――。自動車セキュリティーに関する調査報告書「最先端の自動車セキュリティ:自動車業界のサイバーセキュリティ・プラクティスに関する調査」から、こんな実態が見えてきた(報告書のダウンロードリンクはこちら)。

日本シノプシスの岡デニス健五氏(日経 xTECHが撮影)
[画像のクリックで拡大表示]

 同報告書は、米シノプシス(Synopsys)と米Society of Automotive Engineers(SAE)Internationalが、Ponemon Instituteに独立調査を委託し、まとめたもの。自動車メーカーや自動車部品メーカーのセキュリティー担当者や技術者など593人を対象に、2018年7月19日から同年8月3日までウエブ調査を実施した。回答者に占める自動車メーカーと部品メーカーの比率は明らかにしていないが、「部品メーカーが多い」(シノプシス)という。また、回答者は米国企業が60%と多い。

 報告書によると、「現在開発または使用している車載ソフト/部品が今後1年以内にサイバー攻撃を受ける可能性は?」との質問に対し、「高い」または「非常に高い」と答えた回答者が62%もいた。ところが、「その懸念を企業の上層部に報告する権限が与えられていると感じるか?」との質問には69%が「いいえ」と答えた。

危険性を報告する権限がない(出所:シノプシス)
[画像のクリックで拡大表示]

 この理由として、日本シノプシスのソフトウェア インテグリティ グループ シニアソリューションアーキテクトである岡デニス健五氏は「社内にセキュリティー担当者がいない場合が多い」と指摘した。実際、「製品のサイバーセキュリティーに関する正式なプログラムやチームがない」と答えた回答者は、自動車メーカーで18%、部品メーカーでは41%もいた。

セキュリティーの担当者がいない(出所:シノプシス)
[画像のクリックで拡大表示]

 セキュリティー担当者がいない理由として、「リソース不足」が51%、「スキル不足」が62%に上った。また、製品のサイバーセキュリティー管理プログラムに従事する従業員のフルタイム当量は平均9人で、「自動車関連企業は数千人もの社員を抱えているにもかかわらず、驚くほど少ない」(岡氏)とする。

セキュリティー担当は平均9人(出所:シノプシス)
[画像のクリックで拡大表示]

 こうした課題に対し、「“セキュリティー対策はコストだ”という考え方を改める必要がある」と岡氏は指摘する。「人命にかかわる自動車へのサイバー攻撃を許せば、企業の信頼は地に墜ちる。そのほうがずっとコストがかかる」(同氏)。まずは開発の現場で把握しているサイバー攻撃のリスクを報告する上層部を作ることが重要で、「最高情報セキュリティー責任者(CISO)やサイバーセキュリティーVPを設置すべき」(同氏)とする。

この先は有料会員の登録が必要です。今なら有料会員(月額プラン)が4月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら