本連載第12回では、自動車および家電などの普段我々が利用する製品・サービスに関わるセキュリティーについて、[1]自動車を取り巻くセキュリティー脅威の変化と多様化する対策、[2]製品のセキュリティー機能に関わる客観的なお墨付き(認証)の重要性、[3]自動車業界におけるセキュリティー認証の取り組み、に着目して解説した。

 第34回では、WP29の根幹となる2つのトピック、企業目線の「レゾリューション(Resolution)」と、運営側目線の「レギュレーション(Regulation)」について、具体的な規制と完成車メーカーにとって想定される懸念について述べ、続く第5回では、サプライヤー視点でのWP29対応について解説した。

 最終回となる今回は、現在(2019年4月時点)UN TF-CS/OTA*1で行われているテストフェーズの目的と成果を紹介するとともに、WP29文書「Recommendation on Cyber Security」の「レギュレーション(Regulation)」(第4回参照)を、参加各国がどのように読み取り解釈しているのか、テストフェーズにおける実際の議論の内容を中心に解説する。

*1 UN Task Force on Cyber Security and Over the Airの略

テストフェーズの目的とアウトプット

 第4回で触れたように、現在UN TF-CS/OTAでは、「レギュレーション」の本格運用に向けて、各国が参加するテストフェーズにある。テストフェーズの目的は、以下の3つ。

[1]規制当局による要求事項と必要な証跡の評価方法に関するガイダンスの提供

[2]レギュレーションの有効性/堅牢(けんろう)性の検証

[3]自動車メーカーが提出した証跡に対して、認可当局/テクニカルサービスが同じ結論に至るかの検証

 いずれも、レギュレーションの仕組みそのものの実効性の検証が焦点であり、現時点では、実際の製品やシステムに関する評価・承認は目的ではない。

 加えてUN TF-CS/OTAでは、このテストフェーズを通じて以下の作成を予定している。

(a)サイバーセキュリティーレギュレーションに関するガイドライン (b)ソフトウエアアップデートプロセスレギュレーションに関するガイドライン (c)レギュレーションの解説書(*必要に応じて) (d)テストフェーズに関するリポート*2

*2 リポートは、[2]の結論および[3]の検証結果を含む。

 注目したいのが、本連載の中心テーマでもある(a)の「サイバーセキュリティーレギュレーションに関するガイドライン」である。

 前回(第5回)の繰り返しとなるが、WP29が公開している「Recommendation on Cyber Security」にレギュレーションについて記した「Annex A」という章がある。Annex Aの中で特に重要なのが、サイバーセキュリティーマネジメントシステム(CSMS)に関わるプロセス認証およびサイバーセキュリティーに関わる車両型式認証について言及している「7. Specification」(仕様)である。

 サイバーセキュリティーレギュレーションに関するガイドラインは、まさにこの「7. Specification」にフォーカスし、記載内容に対するコメントや必要となる文書、証跡について取りまとめ中である。今後、自動車メーカーおよびサプライヤーが、WP29対策を講じるに当たり、参考にすべき文書の1つになると考えている。

プロセス認証の要求事項に対するコメントとは

 では実際に「サイバーセキュリティーレギュレーションに関するガイドライン」を取りまとめるに当たり、参加各国からどのようなコメントが出ているのか。「7.1. General specifications」と「7.2. Requirements for the Cyber Security Management System」に対するコメントから、特に筆者らが注目したものを抜粋して紹介する。

 具体的には、従来の特定部門または自動車メーカー単体での自動車開発という考え方に対して、部門横断的・業界横断的な自動車開発の考え方に着目したコメントに注目した。以下の5点が該当する。

[1]リスクの事前把握
[2]リスクに基づく対応
[3]全社的な対応
[4]AUTO-ISACの活用
[5]他業界をも含めた共同プラットフォームの検討

 ただし、これから紹介するコメントは、「7. Specification」の記載内容を解釈するに当たり各国が重要と考える事項や参考となる文書等の意見を述べている段階であり、現在UN TF-CS/OTAにおいて議論中で、最終的に合意・決定されたものではないことを、ご承知おきいただきたい。

[1]リスクの事前把握
原文 左記原文に対する各国のコメント(一部抜粋)*3
7.2.2.2. b) The processes used for the identification of risks to vehicle types
(車両型式のリスク特定に使用されるプロセス)
・サイバーセキュリティーに関わるシステムの関連性の特定
・資産の特定
・脅威の特定
・開発工程の進捗に応じた脆弱性の特定
7.2.2.2. c)The processes used for the assessment, categorization and treatment of the risks identified
(特定されたリスクの評価、分類および処置に使用されるプロセス)
・特定された全ての脅威に関連する影響の評価
・特定された脆弱性に基づく潜在的な攻撃経路の特定
・上記で特定された全ての攻撃経路について、実行可能性、攻撃容易性の決定
・リスクの予測と分類
・それらの特定、分類されたリスクへの対処法
*3 訳はデロイトが英語の原文を基に作成(以降の表も同様)

 サイバー攻撃への対策を検討するに当たり、まず初めに実施すべきはサイバーセキュリティーに関わるリスクの把握である。セキュリティー事故が発生してから事後的に対応するのではなく、起こりそうな事故の内容や影響、被害の大きさを予測し、事前に対応することが重要となる。

 具体的には、サイバーセキュリティーに関わるシステムの関連性およびシステムにひもづく情報機器、脅威や脆弱性の特定が最初のステップとなる。そして、それらが車両システムやデータセンター、工場などに与える影響を把握する。

 特に重要なのは、システムや関連機器、情報などの資産の特定である。資産の特定漏れがあると、資産に対してどのようなサイバー脅威や脆弱性が存在するのか、その脅威が及ぼす影響範囲はどの程度なのか、といった検討が行われないことになる。リスクの事前把握に当たっては、関連資産の網羅的な把握が肝となる。

この先は有料会員の登録が必要です。今なら有料会員(月額プラン)が12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら