自動車産業サイバーセキュリティガイドライン(自工会/部工会・サイバーセキュリティガイドライン)
| 執筆者: | コンサルタント 近藤 駿輔 |
自動車産業サイバーセキュリティガイドラインは、経済産業省の「サイバー・フィジカル・セキュリティ対策フレームワーク」をベースに、日本自動車工業会および日本自動車部品工業会が2020年に発行した自動車産業におけるセキュリティ対策の指針となるガイドラインです。その後改訂を重ね、2024年8月にV2.2が発行されています。自動車業界では、産業内の全ての企業に当該ガイドラインの準拠を求めており、毎年準拠状況も調査しています。国土交通省のサイバーセキュリティ認証制度(UN WP29、CS/SU認証)とあわせて自動車業界のセキュリティ対応を促進しています。今後自動車産業と新たに取引が発生する企業も必ず準拠が求められます。
自動車産業サイバーセキュリティガイドラインとは
情報技術(IT)の急速な発展と普及は、私たちの生活や産業のあり方を大きく変えました。スマートフォンを持たない生活はもはや考えられず、デジタル化やオンライン化は全産業において進められています。長年にわたり技術革新とモビリティの進化を追求してきた自動車産業もITシステムとともに開発スピードを上げ、現在はデジタルトランスフォーメーション(DX)による大きな転換点を迎えています。CASE(※1)に沿って著しい変革が進行し、自動車車両のオンライン環境との融合、設計・製造現場でのデジタル化、例えば光学センサーカメラメーカーといった新たなサプライヤーとの連携が進んでいます。
※1 CASE:コネクテッドカー(Connected Car)、自動運転(Autonomous Driving)、共有(Shared & Services)、電動化(Electric)
そうしたオンライン環境の範囲拡大に伴い、サイバー攻撃の脅威も増加しています。自動車産業も他の産業と同様、サイバーセキュリティリスクに直面しており、サプライチェーン攻撃を受けて業務の一時停止を余儀なくされるなどの事案がたびたび発生しています。すそ野が広い自動車産業では個社単独での対応には限界があり、サプライチェーン全体での対応能力の底上げが必要です。
このような状況に対応するため、日本自動車工業会(※2)および日本自動車部品工業会(※3)は共同で「自動車産業サイバーセキュリティガイドライン(自工会/部工会・サイバーセキュリティガイドライン)」(以下「自動車産業CSガイドライン」)を2020年3月に策定しました。
※2 日本自動車工業会(自工会、Japan Automobile Manufacturers Association、以下JAMA)
※3 日本自動車部品工業会(部工会、Japan Auto Parts Industries Association、以下JAPIA)
自動車業界では、国土交通省がサイバーセキュリティ認証制度(UN WP29、CS/SU認証)を通じて、業界全体で統一したサイバーセキュリティ対応を要求しています。また、経済産業省も、サプライチェーンのセキュリティレベル向上を目的に「サイバー・フィジカル・セキュリティ対策フレームワーク」を提示し、情報システム分野における業界標準のガイドライン作成を促しました。
これらの背景を踏まえ、本ガイドラインは経済産業省の「サイバー・フィジカル・セキュリティ対策フレームワーク」を骨組みとし、以下の規格やガイドラインを参考に作成されました。
- NIST (米国立標準技術研究所)Cybersecurity Framework(NIST CSF)
- ISO(国際標準化機構)ISO27001
- AIAG(米自動車産業協会) Cyber Security 3rd Party Information Security
- IPA(情報処理推進機構)中小企業の情報セキュリティ対策ガイドライン
増大するサイバーセキュリティリスクに一定以上の効果をもたらす対応を行い、自動車産業全体のサイバーセキュリティ対策の強化と、持続可能な発展を支援することを目指しています。
自動車産業CSガイドラインの対象者
自動車メーカー、部品サプライヤー、関連サービス提供企業など、自動車産業に関わる全ての企業を対象としています。自動車関連産業企業との取引が新たに発生する場合などには準拠が求められます。組織内では特に以下の部門や担当者に焦点を当てています。
- CISO(最高情報セキュリティ責任者)
- リスク管理部門
- 監査部門
- セキュリティ対応部門
- 情報システムの開発運用部門
- データマネジメント部門
- サプライチェーンの管理責任を負う購買や調達部門
- その他のセキュリティに関わる部門(人事・法務・総務)
自動車産業におけるサイバーセキュリティリスクは一般的な企業全般に共通するものから自動車車両特有のものまで多岐にわたるため、本ガイドラインではスコープが絞り込まれています。具体的には、オフィス環境(OA)からスマート工場などのOT、自動車そのもの(ネットにつながる車で制御を乗っ取られるリスクなど)がサイバーセキュリティリスクとして想定されますが、最初の一歩として本ガイドラインはエンタープライズ領域(OA環境)をスコープとしています。なお、次の段階として工場をスコープにした内容が検討されています。
自動車産業CSガイドラインの構成
本ガイドラインは、要求事項と達成条件、用語集から成り、付録としてチェックシートと解説書があります。
(1)要求事項と達成条件
要求事項とは「実施すべき事項」を指し、達成条件とはその「実施すべき事項を、具体的にどのように達成するか」を示したものです。
本ガイドラインでは、24種のラベルから分類される153個の達成条件について、具体的なセキュリティ対策の基準が示されています。企業規模を問わず、全ての企業が本ガイドラインを活用できるよう、達成条件には以下のようなレベルが設定されています。企業は自社のレベルに応じた達成条件を選択して対応することが可能ですが、JAMAおよびJAPIAは自動車産業に関わる全ての会社がLv1、Lv2の達成をすることを 目標としています。
図1:自動車産業サイバーセキュリティガイドラインの セキュリティレベル定義
24種のラベルはそれぞれが異なるセキュリティ領域をカバーしています。例えば、物理セキュリティ、リスク対応、アクセス権などがあり、それぞれのラベルに対応します。
下記表から分かるとおり、JAMAおよびJAPIAが目指すLevel1、2の達成には、各企業は124個の達成条件を満たす必要があります。
表1:ラベルとレベルごとの達成条件数
各達成条件にはレベルが設定されており、具体的な達成基準が記載されています。
表2:ラベル「1.方針」のレベルごとの達成条件と達成基準
| ラベル | 1 方針 | ||
|---|---|---|---|
| 目的 | 全社として、セキュリティに対する基本的な考え方や方針を示し、社内の情報セキュリティ意識を向上させる | ||
| 要求事項 | 自社の情報セキュリティ対策方針を策定し自組織内に周知していること | ||
| No. | 1 | 2 | 3 |
| レベル | Lv1 | Lv2 | Lv1 |
| 達成条件 | 自社の情報セキュリティ対応方針(ポリシー)を策定している | 自社の情報セキュリティ対応方針(ポリシー)の内容を確認し、必要に応じて見直ししている | 情報セキュリティ対応方針(ポリシー)を社内に周知している |
| 達成基準 | 自社の情報セキュリティ対応方針を策定し、文書化すること |
|
|
出典:自動車産業サイバーセキュリティガイドライン(自動車産業 セキュリティチェックシート)をもとにニュートン・コンサルティング作成
また、上記とは別に、各項目を解説する解説書が別紙として提供されています。この解説書には、各達成条件をどのように実施すべきか、具体的な手順や事例が記載されています。
(2)チェックシート
JAMAおよびJAPIAはセキュリティ対策の実施状況について定期的な自己診断を求めています。そのためのチェックシートが付録として用意されており、上記の要求事項に対応する形で構成されています。各項目の評価については以下のような評価基準が設けられています。
- 対策完了(2点):規程名、導入システム/策定・改定・導入年
- 対策中(1点):現状と完了予定時期
- 未実施(0点):今後の改善計画
- 該当なし:該当しないと判断した理由を行い、現状の把握と改善点の特定に活用します
JAMAは2021年度以降、自己診断した結果を毎年、期日までに提出するよう求め、集計結果を公表しています。合格や認証等の制度はありませんが、自動車産業全体の取り組みを推進する重要な活動となっています。
表3「2024年度のセルフチェック評価の結果」
| 目標 レベル |
会社数 | 平均点 (レベル1項目) |
平均点 (レベル2項目) |
平均点 (レベル3項目) |
平均点 (総合) |
|---|---|---|---|---|---|
| レベル1 | 669社 | 62.80 / 100点 (62.8%) |
- | - | 62.80 / 100点 (62.8%) |
| レベル2 | 1,462社 | 85.96 / 100点 (86.0%) |
118.92 / 148点 (80.4%) |
- | 204.88 / 248点 (82.6%) |
| レベル3 | 1,003社 | 91.55 / 100点 (91.6%) |
130.10 / 148点 (87.9%) |
39.34 / 58点 (67.8%) |
260.99 / 306点 (85.3%) |
| 計 | 82.80 / 100点 (82.8%) |
123.47 / 148点 (83.4%) |
39.34 / 58点 (67.8%) |
- |
出典:JAMA・JAPIA「2024 年度自動車産業サプライチェーンへのサイバーセキュリティ推進活動集計データ最終結果公表」
2025年3月末に公表された2024年度の集計結果によると、2023年度と比べレベル1およびレベル2において平均点が向上しました。レベル3については平均点は下がったものの、2023年度よりもレベル3を目指す会社数が252社増加したことから産業全体のセキュリティレベルは底上げされていると評価できます。
サイバー攻撃対応力5段階格付制度について
これまで紹介してきましたように、本ガイドラインに準拠することにより、サイバーセキュリティに関するリスク管理基盤の構築が可能となり、それに伴って企業の競争力強化にも繋げることができます。
絶え間ない技術の進化により、サイバーセキュリティの課題は複雑化しており、継続的な評価と改善が不可欠です。そのため、各企業は本ガイドラインを活用しながら、自社のセキュリティ戦略を定期的に見直すことが重要となります。
また、経済産業省は2026年度からサイバー攻撃対応力 5段階格付け制度(セキュリティ対策評価制度)の運用を開始する予定としています。この新制度は、業種横断的なセキュリティ対策レベルを評価することを目的としており、各業界がサイバーセキュリティに関して発表するガイドライン(本ガイドラインを含む)に準拠することは、この格付け制度の四つ星と評価される見込みです。つまり、本ガイドラインに準拠することは、自動車業界においてだけでなく、一般的な観点からも高レベルのサイバーセキュリティ対応力を持つと評価されることになり、競合優位性の証明になると期待されます。
なお、他の業界では、以下のようなガイドラインが参照されています。
- 金融:金融情報システムセンター「金融機関等コンピュータシステムの安全対策基準・解説書」
- 医療:厚生労働省「医療情報システムの安全管理に関するガイドライン」
- 電力:経済産業省「電力制御システムセキュリティガイドライン」
図2:サイバー攻撃対応力の5段階格付け制度のイメージ
将来の車両の安全性と信頼性を確保するためには、積極的かつ適応的なサイバーセキュリティ戦略が不可欠です。自動車産業は、進化する脅威の状況に常に注意を払い、サイバーセキュリティ対策を継続的に改善していく必要があります。
