自動車産業サイバーセキュリティガイドラインとは? 活用方法も分かりやすく解説

2023年11月10日掲載

自動車産業サイバーセキュリティガイドライン 活用方法も分かりやすく解説

ランサムウェアをはじめとしたサイバー攻撃の被害は日本国内でも連日のように報道されています。自動車業界もその例外ではなく、業界をあげてセキュリティ強化の取り組みが推進されています。その中でも、自動車メーカや取引先を含めたサプライチェーン全体のセキュリティレベル向上を目指し活用が進む「自動車産業サイバーセキュリティガイドライン」についてご紹介します。

目次

自動車業界で高まるセキュリティ対策の重要性

サイバー攻撃が増加の一途をたどる中、自動車業界においても多くの被害が発生しています。その中でも、部品メーカへのランサムウェア攻撃により大手自動車メーカの生産ラインが一次停止に追い込まれるといった事件が発生し、大きく報道されたことはまだ皆さまの記憶に新しいのではないでしょうか。自動車業界は部品の生産はもちろん、販売、流通など多くの企業がサプライチェーンを構成しています。そのため、ひとたびサイバー攻撃の被害を受けてしまうと、自社だけではなく取引先をはじめとしたサプライチェーン全体にまで影響を及ぼしてしまう可能性があります。

また、自動車業界ではIT環境以外にも製造現場の設備をはじめとしたOT環境、そしてコネクテッドカーなど自動車自体のテクノロジーも急速に進化しており、これらの新たな領域に対応したセキュリティリスクへの対応も求められています。

自動車産業サイバーセキュリティガイドラインとは

自動車業界におけるセキュリティ対策の重要性が高まる中、関連企業が所属する団体である日本自動車工業会(自工会)と日本自動車部品工業会(部工会)は2020年に「自動車産業サイバーセキュリティガイドライン」を公開しました。

このガイドラインは自動車メーカだけでなく、取引先など自動車産業を構成するあらゆる企業を対象とし、ポリシーの策定や実際の対策実行のために活用することが可能です。また、取引先との信頼チェーンの構築にもつながることや、教育・啓発活動での利用も期待されています。

2022年4月には第2版が公開され、第1版で策定されていた企業規模にかかわらず 標準的に目指す項目さらなるレベルアップのために目指すべき項目 が新たに追加されました。そして、現在は第2版に一部の修正を加えた第2.1版が最新となっています。

ガイドラインは目的や対象範囲、利用方法などを解説したガイドラインと実際に要求事項を満たしているか点検作業に利用することができるチェックシートに分かれています。チェックシートによる点検は年一回以上、定期的に実施することが推奨されています。

チェックシートの範囲と達成するまでのステップ

チェックシートは24個のラベル(カテゴリ)に分かれ、全部で153の点検項目があります。セキュリティソフトの導入状況といった技術的な対策だけでなく、企業としてのセキュリティに対する基本方針の策定、平常時や事故発生時の体制整備などといった幅広い内容を網羅している点が特徴です。

セキュリティチェックシートのラベル一覧

(図)セキュリティチェックシートのラベル(カテゴリ)一覧

点検項目が153もあると聞くと途方に暮れてしまうかもしれませんが、ガイドラインでは項目ごとに優先順位が示されています。各項目は、最低限実装すべき項目とされているレベル1から到達点として目指すべき項目であるレベル3まで3つの段階に分類されています。まずはレベル1を目指し、そこからレベル2、3と優先順位をつけて、着実に対策レベルを強化していくといった道のりが示されている点がこのガイドラインの特徴です。

また、具体的な基準が対象や頻度とともに示されており、達成しているかどうかの判断がしやすいようにもなっています。現在のガイドラインの対象は、あらゆる企業でベースとなるOA環境をはじめとしたエンタープライズ領域を対象としています。将来的には工場内のOT環境やコネクテッドカーの領域へも拡大し、自動車産業に求められる幅広いセキュリティ対策にも活用の場が広がっていくことが予想されます。

自動車産業サイバーセキュリティガイドライン ガイドラインの構成 ガイドラインの対象

(図)ガイドラインの構成と対象

サイバー攻撃対策にどのような効果があるのか?

では、ガイドラインを活用した点検はサイバー攻撃対策に具体的にどのように効果を発揮するのでしょうか?ここでは依然猛威を振るうランサムウェア攻撃に当てはめて解説していきます。

巧妙化、凶悪化し続けているランサムウェア攻撃ですが、その感染経路として多くあげられているのが脆弱性の悪用です。攻撃者はまず企業が利用しているVPN機器などの脆弱性を悪用し、企業の環境へ侵入します。そしてサーバなどの重要システムへと攻撃を進め、システムを使えない状態にする、盗んだ情報を暴露すると脅迫し身代金の要求を行うなどといった攻撃を行います。

実際に冒頭にご紹介した部品メーカのランサムウェア攻撃の事件でも、子会社が利用していたリモート接続機器の脆弱性を突かれて不正アクセスを許してしまったことが原因とされています。

ガイドライン活用効果の例 ランサムウェア攻撃の防御

(図)ガイドライン活用例

このような攻撃を許さないためには、最新のサイバー攻撃に対応した対策ソフトウェアを導入することも重要ですが、利用中のシステムに対して適切なパッチ適用やアップデートを実施することも必要不可欠で、ガイドラインでも最低限実施すべき対策としてレベル1に定義されています。しかし、実際は管理に手が回らないといったケースや対象に漏れが発生してしまっているケースも存在するのではないでしょうか。

そこでガイドラインを活用し、レベル1からしっかり点検し対策を実施することで、ランサムウェア攻撃対策につながる複数のポイントを強化し、企業のセキュリティレベル全体を向上することができます。

まとめ

今回ご紹介したガイドラインは自動車業界で広く活用が進んでおり、すでにチェックシートを利用されたことがある方もいらっしゃるのではないでしょうか。

ランサムウェア対策をはじめ、セキュリティ対策にはやるべきことが多く存在するのは事実です。そのような中でもガイドラインを活用することにより、定期的な点検とそれを踏まえた着実な改善を進めていくが可能となります。

ソフトバンクではランサムウェア対策はもちろん、モバイル端末やネットワーク、メール環境のセキュリティ強化や従業員の教育など豊富なソリューションをご用意し、ガイドラインの項目達成を全面的にサポートさせていただくことが可能ですのでぜひご相談ください。

出典

自工会/部工会・サイバーセキュリティガイドラインはこちら

関連サービス

ソフトバンクのセキュリティソリューション

予防・検出・対応の各段階の対策を複数組み合わせることで、サイバーセキュリティの向上を実現することが可能です。ソフトバンクでは、数あるセキュリティサービスからお客さまの環境に合わせたセキュリティ対策をご紹介いたします。

https://www.softbank.jp/biz/services/security/

関連セミナー・イベント

セキュリティ
Future Stride
ソフトバンクビジネスブログ編集チーム
澤入俊和
外資系IT企業などを経て、2018年にソフトバンク入社。
セキュリティ事業のマーケティングプロモーションや営業推進を担当。
講演や記事寄稿などを通したサイバーセキュリティの啓蒙活動にも注力。
トップに戻る

同じカテゴリーの記事をみる

Tag
セキュリティ強化
Display
part
/common/fragments/sidebar