国内の自動車メーカー、サプライヤーが自動車のサイバーセキュリティーへの対応を迫られる。国連の自動車基準調和世界フォーラム（ＷＰ２９）で、自動車のサイバーセキュリティーとソフトウエアアップデートに関する国際基準が成立、日本でも２０２２年秋ごろに法規制が施行される見込みとなった。

規則でサイバーセキュリティーに関して厳格に管理する体制づくりが自動車メーカーに義務付けられる。コネクテッドカーの普及などに伴って自動車に対するサイバー攻撃は急増しており、自動車各社は体制整備と人材確保・育成が急務となる。

新しいサイバーセキュリティー規則ではサイバーセキュリティーと車載ソフトウエアのアップデートを管理する体制の構築を自動車メーカーに義務付ける。サイバーセキュリティーでは、自動車の開発・製造・使用のライフタイム全般を通じてサイバー攻撃から保護する「サイバーセキュリティ管理システム」（ＣＳＭＳ）を導入する必要がある。

車両についても、サプライチェーン全体を通じての情報収集・検証や車両のリスクの特定・分析・評価、セキュリティー対策の有効性を検証するための試験の実施などが義務付けとなる。

また、「ＯＴＡ」（オーバー・ジ・エアー）と呼ばれる無線通信を使った車載ソフトのアップデートに関しては、車両ごとのソフトのバージョン情報と関連するハードウエアの特定、アップデートしたソフトの安全性評価、改ざんを防止するためにセキュリティーを確保するなどして「ソフトウエアアップデート管理システム適合証」を自動車メーカーが取得する必要がある。

サイバーセキュリティーとソフトアップデートの新しい規則が従来の規則と大きく異なるのは、自動車メーカーだけでなくサプライヤーやサービスプロバイダー、アフターマーケットを含めた管理体制が求められていることや、型式認可時だけでなく開発や製造、使用までを含めて自動車メーカーの責任が規定されている点だ。自動車メーカーがこれらに対応するための負担は大きく、自動車各社は対応を急いでいる。

トヨタ自動車はサイバーセキュリティーに関する担当部署が複数にまたがることから、連携して対応できるように準備しているという。日産自動車もすでにＣＳＭＳの導入に向けた準備に着手しており、今後、社内体制を整備していく方針だ。

スバルは昨年１０月、製品やサービス、情報資産をサイバー攻撃の脅威から守るための活動を推進する組織として「サイバーセキュリティ部」を新設した。

今後、技術・設計部門や商品開発部門、営業サービス部門などが連携してサイバーセキュリティー体制を強化していく方針だ。一部の自動車メーカーでは「法規制が明確になってから対応を検討する」というケースもある。

ＰｗＣコンサルティングの奥山謙シニアマネージャーは「自動車メーカーやティア１サプライヤーの大手は準備に入っているようだが、企業によって取り組みの温度差がある」と分析。サイバーセキュリティーに関係する２次・３次サプライヤーなどの取り組みも今後の課題になる。

自動車メーカーは大手を中心に、２２年ごろの法改正を見据えながら準備に動いているが、今後、規制に対応する上で懸念されているのがサイバーセキュリティー領域の人材確保だ。

自動車各社は通信キャリアと連携して、コネクテッドカー対応モデルを増やしているが、通信やサイバーセキュリティーなどに強い技術者を社内に多く抱えているわけではない。

サイバー攻撃の急増に伴う企業の危機感の高まりで、セキュリティー分野の専門家は争奪戦になっており、今後、自動車メーカーやサプライヤーが規制に対応するため、サイバーセキュリティー関連の人材を確保していくのは容易ではないと見られる。

自動車のサイバーセキュリティーに関する日本国内の法規制は２２年秋ごろ施行される見通し。自動車各社はクルマがインターネットを通じて外部と常時接続するコネクテッドカーの普及を図っている。

一方で、車を狙ったサイバー攻撃は増加傾向にあり、リスクは高まっている。クルマに対するサイバー攻撃で制御を乗っ取られた場合、人命にも影響を及ぼす。それだけに自動車各社は法規制を待たずにサイバーセキュリティー対策に本腰を入れることを迫られている。

カテゴリー	白書・意見書・刊行物
対象者	自動車業界

日刊自動車新聞7月6日掲載