これまでの第1回第2回では、自動車および製品に関わるサイバーセキュリティーについて、[1]自動車を取り巻くセキュリティー脅威の変化と多様化する対策、[2]製品のセキュリティー機能に関わる客観的なお墨付き(認証)の重要性、[3]自動車業界におけるセキュリティー認証の取り組み、に着目して解説した。[3]については、認証制度の取り組み主体である「WP29」(自動車基準調和世界フォーラム)の組織構成やミッション、活動内容などについても言及した。

 前回(第3回)では、WP29の根幹となる2つのトピック「レゾリューション(Resolution)」と「レギュレーション(Regulation)」のうち、「企業目線」としてのResolutionについて具体的な内容を説明した。

 今回(第4回)は、これまでと視点を変えて「運営側目線」の検討が必要となるRegulationについて、具体的な規定、およびそれを踏まえた自動車メーカーにとって想定される懸念を説明していく。

Regulationは認証のための判定基準

 WP29では、これまでブレーキや走行ランプなどの従来の車両機能の安全性に対して、車両型式ごとに認証を策定してきた。その際の判定基準がRegulationである。

 近年、車両のコネクテッド化に呼応して、ITの世界と同様なサイバーセキュリティー対策の必要性が自動車業界でも叫ばれるようになり、型式車両に適切なサイバーセキュリティー対策が施されているかを認証すべきだとの機運が高まった。こうして、これまでの車両機能の安全性と同様、サイバーセキュリティー対策に関するRegulationが提唱されることとなった。

 Regulationは「Recommendation on Cyber Security」の文中に含まれており、図1に示すように「Annex A」がそれに該当する。

図1 Recommendation on Cyber securityの文章構成とRegulationとの対応
(出所:デロイトトーマツリスクサービス)
[画像のクリックで拡大表示]

 具体的な内容は後述するが、Annex A内ではRegulationについて、「○○というセキュリティー製品・ソリューションを実装・運用すること」というような具体的な対策は記載していない。なぜなら、サイバー脅威は、ビジネス環境や技術環境などの変化に応じて進化を続けており、常に最新の脅威に対応しかつ網羅性の高い「製品・ソリューション」を実装するのは現実的に困難だからである。

 そうした状況を踏まえて、Regulationでは、認証を取得するために求められる申請・承認プロセスや、サイバーセキュリティー対策を最新に保つための普遍的な運用プロセスを記載している。

この先は有料会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら