コラム

クルマにおけるサイバーセキュリティ規格 ISO/SAE21434とは ~DIS(ドラフト)版を読み解く

2020年07月03日

チーフコンサルタント

岡村 茂則

ISO/SAE21434は、近年増加傾向にあるコネクテッドカーなど、外部ネットワークに接続されることによりサイバー攻撃の脅威にさらされることになった、車両のサイバーセキュリティに関する国際標準規格です。

車の運転はドライバーが車両を取り巻く状況を適切に判断し、ハンドル、ブレーキ、アクセルを制御するのが当然でした。しかし、近年、車の安全性を向上させる目的で、運転支援システムが車両に標準装備されるようになってきています。人がアクセルとブレーキを踏み間違えた際の急な飛び出しを防止する装置や、車両に搭載したセンサーやカメラで読み取った状況から自動でブレーキを作動させる装置などがあり、2021年11月から全ての国産新型自動車には自動ブレーキの搭載が義務化されます。

従来の運転支援システムは、あくまでも各車両に搭載されたセンサー等から得られた情報を基にしてその車両自体を制御することを目的としていました。今後は車両からの情報がネットワークを介して他の車両に共有されるコネクテッドカーが一般的になっていくでしょう。複数のトラックが連携して走行する隊列走行や、他の車両から得た落下物等の情報を共有して事故を防ぐなど、さらなる利便性・安全性の向上に向けた技術の開発が進んでいます。

他にも車両が外部ネットワークとつながることによるメリットは沢山ありますが、同時にこれまでになかった危険にさらされるリスクも出てきました。 それが外部からのサイバー攻撃です。 自動車は、パソコンやスマートフォンと異なり買い替えるまでの期間が長いため、利用途中での対策の適用は難しいことが想定されます。
従って、外部からの攻撃による被害を抑えるためには、製品開発、製造、運用/保守、廃棄まで全ての活動においてセキュリティを考慮した取り組みを実施することが重要となります。
ISO/SAE21434はこうした車両のサイバーセキュリティ対策の必要性向上を受け、対策の標準化を目的として検討が進められています。

今後の見通し

ISO/SAE21434は正式に発効されているわけではなく、現在は発効前のDIS(Draft international standard)のフェーズです。

ISO規格は新規作業項目の提案を含め6つの段階を経て作成され、DISは4番目の段階です。今後、ISOメンバーの投票が行われて承認されるとFDIS(最終国際規格案)登録となり、FDIS承認を経てISOとして正式発行される見込みです。 ISO/SAE21434は2020年2月にDISが発行されており、2020年秋ごろに正式発行されることが見込まれています。

図1 ISO規格の制定手順

ISO/SAE21434のポイント

ISO/SAE21434はあくまでも国際標準規格であるため準拠する義務はありません。しかし、国土交通省が2018年9月に公開した「自動運転車の安全運転技術ガイドライン」において、自動運転車両の安全性に関する要件の一つとして「サイバーセキュリティ」を挙げています。この要件の中で、国連の自動車基準調和世界フォーラム(WP29)で成立したサイバーセキュリティガイドラインを踏まえることを要求しており、同ガイドラインがISO/SAE21434を参照しているため、間接的ではありますが準拠する必要があると言えるでしょう。

一般的なデバイスを対象とするサイバーセキュリティでは、セキュリティに問題のあるソフトやファームウェアをアップデートすることで対応が可能です。しかし、自動車はソフトウェアやファームウェアのアップデートが容易ではないことが想像され、ユーザの買い替えスパンも長期にわたる場合があることから、対応が難しくなります。
例えば、悪意のある攻撃者が、自動車工場のIoT機器をのっとり、車両へ悪意のあるアプリケーションをダウンロードさせる可能性もあります。また、あらかじめサプライチェーンの一角をなす企業を利用し、Tier-1(1次下請け)へ提供する部品に攻撃の仕組みを組み込んで、納入することも考えられます。

従って、自動車のサイバーセキュリティは、特定の部署や製造工程に集中して対応を検討するのではなく、サプライチェーンを含めた組織としての取り組みとして進めることが重要です。車両の開発、製造、運用、メンテナンス、廃棄の全フェーズにおけるサイバーセキュリティへの対応が必要となってくるのです。

ISO/SAE21434の構成

ISO/SAE21434は15章構成となっており、大きく分けて7つのフェーズに分かれています。 ここで1章から4章は、本国際標準規格のスコープ、参考文献、用語の定義、考慮事項が記載されており、5章から15章がサイバーセキュリティに関する内容となります。

【表 ISO/SAE 21434の構成】
フェーズ 内容
1 5章、6章 サイバーセキュリティの管理
2 7章 継続的なセキュリティ活動
3 8章 リスクアセスメント
4 9章 コンセプトフェーズ
5 10章、11章 製品開発フェーズ
6 12章、13章、14章 製造、運用/保守、廃棄フェーズ
7 15章 サプライチェーンにおけるサイバーセキュリティ

 

フェーズ1、2、3で組織の管理と活動の継続、対象となるリスクの特定・分析・評価について述べ、フェーズ4、5、6で車両のコンセプト設計から車両廃棄に至るまでの車のライフサイクルにかかるサイバーセキュリティ対策事項について詳細に述べています。フェーズ7はさらに自組織だけではなくサプライチェーンを含めたサイバーセキュリティの取り組みについて述べています。

  1. サイバーセキュリティの管理
    5章および6章の「サイバーセキュリティの管理」では、組織全体のサイバーセキュリティポリシー、ルール、および全体的なサイバーセキュリティ管理とプロジェクトに依存するサイバーセキュリティ管理のプロセスが説明されています。
     
  2. 継続的なセキュリティ活動
    7章「継続的なセキュリティ活動」は、サポートが終了するまでのE / Eシステム(電気/電子システム)の継続的なリスク評価と脆弱性管理に関する情報の提供を定義しています。
     
  3. リスクアセスメント
    8章「リスク評価方法」は、車両のサイバーセキュリティリスクを評価する方法を定義しています。
     
  4. コンセプトフェーズ
    9章「コンセプトフェーズ」は、車両を構成するアイテム(以下「アイテム」という)と関連資産を定義し、サイバーセキュリティリスクを洗いだし、サイバーセキュリティの目標を定義します。
     
  5. 製品開発フェーズ
    10章、11章は製品開発フェーズについて記載しています。

    10章「製品開発」は、サイバーセキュリティの仕様を定義し、アイテムまたはコンポーネントに固有のサイバーセキュリティ要件を検証し、実装します。
    11章「サイバーセキュリティの検証」は、車両レベルでのアイテムのサイバーセキュリティ検証について説明しています。
     
  6. 製造、運用/保守、廃棄フェーズ
    12章、13章および14章は車両の製造から販売後の運用と保守、そして廃棄までのフェーズについて記載しています。
    12章「製造」はアイテムまたはコンポーネントの組み立てと調整について説明しています。
    13章「運用と保守」は、サイバーセキュリティ発生時のインシデント対応とアイテムまたはコンポーネントの更新に関連する活動について説明しています。
    14章は、アイテムまたはコンポーネントの廃止に関連するサイバーセキュリティの考慮事項を説明しています。
     
  7. サプライチェーンにおけるサイバーセキュリティ
    第15条(分散型活動)はサプライチェーンの観点から、Tier-1(1次下請け)やTier-2(2次下請け)等のサプライヤーに求められるサイバーセキュリティの対応、見積もりを依頼する際のサイバーセキュリティに関する要件、責任範囲、活動等について定義されています。
     

まとめ

車両の高度化が進む中でサイバーセキュリティの国際標準規格であるISO/SAE21434は、ますます重要視されるでしょう。

モバイル通信規格「5G」のサービス提供も開始され、屋外での高速通信インフラも今後整います。また、トヨタ自動車はデジタル技術見本市「CES」でコネクテッドシティの建設を発表し、2020年6月以降に販売する車両のスマートフォン連携強化も打ち出しています。海外に目を向けると、2016年のパリモーターショーでは独ダイムラーが中長期戦略を発表し、自動運転(Autonomous)、シェアリング&サービス(Sharing&Service)および電動化(Electric)と共にコネクテッドカー(Connected)を複合的にパッケージするというメッセージ(「CASE(ケース)」)を出しています。

現在、ISO/SAE21434はDIS版ですが、今後FDIS版の発行を経て2020年秋に正式発行が予定されています。今後もその動向を確認し、タイムリーな情報提供をさせていただければと思います。

参考文献
  • ISO/SAE DIS21434 「Road vehicles - Cybersecurity engineering」

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる