CASE時代にとるべき、自動車サプライヤーのサイバーセキュリティ対策

2023年3月31日掲載

CASE時代にとるべき、自動車サプライヤーのサイバーセキュリティ対策

自動車業界は「CASE*」の加速により変革の時期を迎えています。

例えば、全国各地を走行中の自動車が写したカメラ映像と、気象情報会社による気象データとを組み合わせることで、より綿密でリアルタイムな天気マップの作成・提供が可能となるなど、これまで自動車業界と関連のなかった異業種の参入が進み、ユーザ情報と企業が持つ情報の連携や新しいサービスの開発が活発になってきています。

そんな中、企業間のデータ連携の重要性が増したことで、これまで以上にセキュリティを高める必要が生じています。特に近年はサプライチェーンの弱点を悪用した攻撃の脅威が高まっており、実際にサプライチェーンのインシデントが工場の稼働停止につながる事態も発生しています。サプライチェーンのセキュリティリスクはOEM*だけではなく、サプライチェーン全体で検討をする必要があります。

ソフトバンクは多くのOEMにコネクテッドサービスを提供しているTire1ベンダ でもあります。セキュリティ事業も展開しており、製造業をはじめ多くの企業にセキュリティサービスを提供しています。

サプライチェーンのセキュリティ対策は自動車サプライヤ様の現場から相談を受ける機会が多い分野でありますので、本記事では日本と海外のセキュリティ対策の現状を整理しながら、日本の自動車業界が抱える課題と今後のあるべき将来像について考えていきます。

※CASE:Connected(コネクテッド)、Autonomous(自動運転)、Shared & Services(カーシェアリングとサービス)、Electric(電気自動車)の頭文字をとった造語。

※ OEM:Original Equipment Manufacturerの頭文字をとった略語。自動車業界では自社ブランドで製造するメーカ、つまり完成車メーカのことを意味する。

目次

著者紹介

鎌田 浩一郎

ソフトバンク株式会社
法人事業統括
ソリューションエンジニアリング本部
ビジネスデザイン第1統括部 SE第2部

法人向けのネットワークエンジニアとしてキャリアをスタートさせ、製造業の中でOEM・サプライヤのネットワーク導入プロジェクトにも携わってきました。その後海外OEMを中心としたコネクテッドカーの新規サービス展開・導入支援に従事してきました。
現在はプリセールスのエンジニアとして活動をしておりコネクテッドカー事業はもちろん、近年はOEM・サプライヤのサイバーセキュリティ対策や現場が抱える課題解決への提案の機会を多くいただいております。

1.自動車業界のサイバーセキュリティ対策の動向

“CASE”の加速による自動車のセキュリティリスク

近年の自動車業界では“CASE”と呼ばれるクルマの進化の方向性を示したコンセプトに基づいて日々高度化が進んでいます。クルマがさまざまな物と通信するようになったことでユーザの利便性が向上する一方、これまでになかった新たなセキュリティリスクへの対策が必要となってきています。

今日において自動車を総合的に保護するためには、選択的な対策ではもはや十分ではありません。車両のライフサイクル・バリューチェーン全体に対するサイバー攻撃のリスクが高まっており、OEMだけではなくサプライヤも含め上流から下流まで全体を見据えたセキュリティ対策が必要です。

自動車業界の新たな登場人物の参入による企業間のデータ連携の加速

CASEがもたらした変化として、自動車業界へ参入する新たな登場人物の増加があります。自動車業界とは関連のなかった異業種の参入が進み、ユーザ情報と企業の持つ情報が連携されることで、これまでになかった新しいサービスの開発や効率化が活発になってきています。特にGAFAをはじめとしたIT関連企業やキャリア、ソフトウェアメーカなどの参入が進んだことで、従来の業界の構造が大きく変化しつつあります。

関係企業間全体でのデータ利活用は今後さらに進んでいくと想定され、企業間でのデータ連携が進むことで、これまで以上にセキュリティを高める必要が生じています。

自動車業界の新たな登場人物の参入による企業間のデータ連携の加速

サプライチェーンのセキュリティリスク

業界内全体でのデータ連携が活発化されている背景を踏まえ、OEMとサプライヤ間のデータ連携のセキュリティ対策は最も優先するべきだと考えています。

近年はサプライチェーンの弱点を悪用した攻撃の脅威が高まっており、OEMの海外子会社がターゲットになって攻撃を受け、工場の稼働停止などの被害を受ける事例が過去にもありました。直近でもサプライチェーンのインシデントが工場の稼働停止につながる事態が発生しました。国内の大手OEMのプレス工場が稼働停止に追い込まれたインシデントは記憶に新しいかと思います。

こうしたセキュリティリスクは、もはやOEMだけの問題ではなく、サプライヤを含めたサプライチェーン全体で対策を検討する必要があります。日本の自動車業界としてどう取り組むべきか、海外でのサイバーセキュリティへの対策と日本の現状を比較しながらソフトバンクの考える将来像について考えていきます。

2.日本のセキュリティへの対応状況 (国際的な法規制と日本での取り組み)

サイバーセキュリティに関する世界の法規・標準

日本および海外では自動車のサイバーセキュリティに関してどのような法規制や取り組みがなされているのでしょうか。国外では特に欧州を中心にサイバーリスクの高まりが懸念されており、サイバーセキュリティの国際的な規則として「UN-R155」が2021年1月に発行されました。

UN-R155は自動車のサイバーセキュリティに関するはじめての国際規格であり、法規制としての拘束力がある法規となります。法規違反の場合、EU・日本などの市場で車を販売・登録することができなくなるためOEM・サプライヤ各社はそれぞれ対応を求められています。

UN-R155では車両のセキュリティに対して大きく以下の4点が要求されます。

※ソフトバンクでもコネクテッドサービスを提供しているキャリアとして、セキュリティインシデントの対応やOTAについてOEMと連携した設計・実装・運用を行っています。

このUN-R155の要求を実現するためには、大きく2つの方法があります。

1つ目はサイバーセキュリティー管理システム「CSMS(Cyber Security Management System)」の構築です。CSMSとは、自動車メーカーや部品メーカーなどが社内に作るサイバーセキュリティを管理するためのルールおよびそれを順守するための仕組みで、プロセス認証と呼ばれます。

2つ目はCSMSに則って開発することです。構築したCSMSに従い、車両への具体的なサイバーセキュリティ対策の実装が義務付けられていて、型式認証と呼ばれます。

このUNR-155のCSMSは、いわば日・欧のサプライチェーン全体のCSMSでもあり、日本のOEM・サプライヤにも対応が求められています。

自動車産業サイバーセキュリティガイドライン2.0の概要

国際的な法規制とCSMSの整備が進められていた頃から、日本でもサイバーセキュリティガイドラインの設立が求められていました。

現在、日本のガイドラインの元になっているものは2020年にJAMA、JAPIAによって定められたものです。自動車産業固有のサイバーセキュリティリスクを考慮した向こう3年の対策フレームワークや業界共通の自己評価基準を明示し、自動車産業全体のサイバーセキュリティ対策のレベルアップや対策レベルの効率的な点検を推進することが目的となっています。その後2022年にはバージョン2.0としてさらなるレベルアップ項目(標準的項目、 目指すべき項目)が追加され、21項目の要求事項と153項目の達成条件が定められたガイドラインにアップデートをされています。

本ガイドラインの対象となる企業は自動車関連企業の全てです。ご存知のように自動車産業は裾野が広く多くの企業が携わっており、OEMとTier1~Tier3以下のサプライヤまで数にすると数万を越える企業が対象となっています。近年ではTier1にGAFAをはじめとしたIT企業やキャリア、ソフトウェアメーカーなど従来の製造業以外の企業が増加しています。

実はソフトバンクもコネクテッドサービスや自動運転に関する分野で自動車業界に携わっており、Tier1のサプライヤとして本ガイドラインの対象企業となっています。そのため、実際にガイドラインの内容に基づいて自社評価しチェックシートの回答を準備しています。

ガイドラインに対するソフトバンクの取り組み

ソフトバンクでは実際にガイドライン準拠対応に取り組んだ経験を踏まえ、各サプライヤへのサポート対応を実施しています。

具体的にはガイドラインの基準を満たすために必要なセキュリティソリューションの提案や、チェックリストの要件に含まれる監査・教育から運用の提案も含めたトータルでのサポートです。

自動車産業サイバーセキュリティガイドラインの対象領域

本ガイドラインはよくできていて、コーポレートガバナンスに関わる部分から実際のセキュリティ実装に関するところまで幅広く網羅されており、特定のツールを入れるだけではなく総合的な対策が求められています。現時点では本ガイドラインの対象領域は会社全体のベースとなるOA環境のみに留まっていますが、2023年度以降に対象領域の拡張が予定されており、その中には工場領域(OT環境)も含まれています。

サプライチェーンのセキュリティを検討するうえで、生産停止や情報漏洩などのリスクが顕在化している工場内のOT環境への対策は必須であり、今後のガイドラインの拡張に向けてOEM・サプライヤは備える必要があると考えています。

サイバーセキュリティガイドラインへの領域追加

この工場領域(OT環境)のガイドラインの基準として、ドイツで策定されている「TISAX」が指標になると想定をしています。TISAXはドイツでOEMとサプライヤ間のセキュリティに特化して定められているガイドラインであり、工場領域(OT環境)についても対象となっています。

サイバー攻撃の手法の進化のスピードは速く、日本では制度としてまだ策定されていないセキュリティ基準であっても、欧米ではすでに現場でガイドラインが適用されているケースは珍しくありません。

3.サプライライチェーンセキュリティの未来と取るべき対策

「TISAX」について

自動車のサイバーセキュリティに関する法規として先述のUNR-155に触れましたが、ドイツではそれに加えてサプライチェーンのセキュリティを確保するためにTISAXと呼ばれるサプライヤを対象としたガイドラインが2017年に発行されています。

TISAXは「自己評価」と合わせて「外部の審査員による審査」の両方が必要となります。TISAXの認証を取得することが情報セキュリティ対策の一定水準を超えていることを示すので、OEMは一定の信頼をサプライチェーンに置いたうえで取引ができるというメリットがあります。また、OEMがサプライヤに対してTISAXの取得を明確に求めることができるため、しかるべきセキュリティ対策を取っていることがサプライチェーンに参加する前提条件となっています。実際にドイツのOEMでは日本のサプライヤとの取引の際にTISAXの取得を求めています。

このTISAXの定めるOEM・サプライヤ間の情報セキュリティの基準を満たすためには、OA環境だけではなく工場領域(OT環境)のセキュリティ対策も合わせて必要であり、工場領域(OT環境)のセキュリティ対策については日本のサプライチェーンも追随していくことになると考えています。

OT環境のセキュリティ対策

①OT環境に特化したセキュリティ対策の導入

OT環境のセキュリティ対策を強化するにあたっては、現場のOT環境の可視化・脅威を検知するための環境導入が必要ですが、現場では以下のような課題がありそれぞれ対策が求められます。

  1. セキュリティリスクの把握
    現場のOT環境が抱えているセキュリティリスクの可視化とそれに基づいたOT用のガイドラインの準備
  2. 適切なソリューション選定
    工場内で可視化・監視の対象とする機器や通信プロトコルが多くて複雑で、現場に適したソリューション選定とインテグレーションの実施
  3. 運用監視
    導入するだけではなく、セキュリティに詳しい技術者による監視とインシデント発生に必要な対応を早期に取れる体制の準備

特に「3:運用監視」については24H365Dの体制だけではなくセキュリティに詳しい技術者の存在が必須です。サプライヤにとって特にハードルが高い問題なので、社内に専門の部署がない場合はセキュリティに特化したパートナー会社への委託を検討するのが良いでしょう。

また、「1:セキュリティリスクの把握」、「2:適切なソリューション選定」についても専門性の高いスキルが求められるため、「3:運用監視運用」と合わせた一元的にサポートが可能なパートナーとの協業もベストな選択肢に成り得ます。

②工場内外を接続するネットワーク環境

そのうえで工場の内外をセキュアに接続するためのネットワーク環境が必要です。工場のOTネットワークは、従来、本社システムなどと切り離されたスタンドアローンのネットワークであり、本来は外部との接続を想定していません。IoTの発展で外部ネットワークと繋がるようになりましたが、古い脆弱なOSが使われているなどセキュリティ対策が遅れており、外部との接続にはよりセキュアなネットワーク環境が求められます。

従来であれば工場内の接続は有線ネットワークとWi-Fi、工場外との接続は有線回線によるVPNでの接続がスタンダードな接続構成でしたが、近年では5Gのモバイルネットワークも有効な選択肢として注目されています。いくつかある5Gサービスの中でも「プライベート5G」が今回のような工場内外のセキュアな接続ネットワークとして最適です。

「プライベート5G」は、キャリアの5Gネットワークを使って、企業や自治体向けに、特定エリアをカバーした専用ネットワークを提供するサービスです。プライベート5Gはパブリック5Gとローカル5Gの中間的なサービスで、キャリアが構築・運営するパブリック5Gの安心感や品質と、専用ネットワークを構築できるというローカル5Gのメリットを併せ持っています。キャリアのエリア内であればどこでも利用が可能で、工場内はもちろん別工場やオフィス拠点間ともセキュアに接続することが可能です。

さらにモバイルネットワークは端末の認証方式としてSIMカードの情報をキャリアが認証するSIM認証方式を利用しているため、同じ無線接続でもWi-Fiと比較してセキュリティの強度がはるかに高いという特長もあります。Wi-Fiは工場内でのAP・配線の管理・運用の負荷も大きいため、工場のスマートファクトリー化の過程で工場内のWi-Fiをモバイルネットワークへの置き換えを検討している企業も近年は増えてきています。

こうした背景も踏まえOEM・サプライヤ間のデータ連携をセキュアに行うための基盤ネットワークとしてのユースケースが今後増えてくると想定しています。

▶関連記事:工場セキュリティにまつわる5つの迷信

4.ソフトバンクの考える将来像

セキュリティ対策を進めるためのベストプラクティス

セキュリティ検討のベストプラクティス

こうしたセキュリティ対策は企業にとっては純粋なコスト増となるため、検討が進めづらいといった現場の声もよく聞かれます。そのため、セキュリティ対策を単体で行うのではなく、例えばスマートファクトリー化や業務のデジタル化といった将来的に重要な施策と合わせてセキュリティ対策の検討を進めるのが、業界におけるベストプラクティスになり得ると考えています。

特にスマートファクトリー化においてはインフラ環境も合わせた見直しが必要となるため、セキュリティの見直しも合わせて検討をされている企業様は多くいらっしゃいます。

今後の規制や水準を見越した先取りの対応

OTとITの融合

今後の日本のサイバーセキュリティガイドラインの工場領域(OT環境)への拡張に伴い、日本でもドイツのようにしかるべきセキュリティ対策を取っていることがサプライチェーンに参加するための前提条件になってくると想定しています。

セキュリティ対策の不備はサプライチェーン全体に影響を及ぼし、最悪の場合サプライチェーンから外されサプライヤにとっての死活問題となります。サイバー攻撃の手法は進化のスピードが速く、ガイドラインが発行されてからではなく、自動車のサプライチェーン全体で今後想定される規制や契約上の要件を確認して対応を準備しておく必要があります。

本記事ではOT環境のセキュリティの重要性と対策についてフォーカスを当ててきましたが、工場内のDX化が今後進んで行く過程でOT環境とOAを含めたIT環境のあり方も将来的には変わってくるでしょう。これまでのようにそれぞれ別々ではなく、一元的にOT環境・IT環境を俯瞰したセキュリティ設計、管理・運用が必要となってくると想定しています。

IT環境が対象領域になっている現在の日本のサイバーセキュリティのガイドラインに留まらず、将来的なOT環境・IT環境の融合という観点で今のうちにチェックリストを見直しておくと今後役立つかもしれません。

ソフトバンクではTier1サプライヤとして自動車業界に長年携わってきた経験を踏まえて、業界の将来を見越した現場へのセキュリティの提案を日々続けております。今後もソフトバンク独自の目線で自動車業界に関する考察をお伝えしていきます。

資料ダウンロード

tag
pg10712
displayCount
1

関連サービス

OTセキュリティ Type N

OTセキュリティ Type Nは、OTセキュリティサービスの導入後の運用・監視により、お客さまの負担なく、早期対処にて被害の拡大を防止することができます。

https://main--blog--softbankbtob.aem.page/biz/services/security/ot-security-type-n/
鎌田 浩一郎
ソフトバンク エバンジェリスト
鎌田 浩一郎
法人向けのネットワークエンジニアとしてキャリアをスタートし、エンタープライズ企業・SMB企業を対象に幅広いネットワーク導入プロジェクトを経験。その後海外OEMを中心としたコネクテッドカーの新規サービス展開・導入支援に従事。
現在は製造業界のエンタープライズ企業向けのプリセールスエンジニアを担当。
トップに戻る

同じカテゴリーの記事をみる

Tag
セキュリティ強化
Display
part
/common/fragments/sidebar