ニュース
自動車業界におけるサイバーセキュリティについて、OEM/サプライヤーが対応すべきことは? WP29で検討される新法規を解説
PwCコンサルティングが説明会を開催
2020年6月26日 07:10
- 2020年6月24日 実施
PwCコンサルティングは6月24日、「自動車基準調和世界フォーラム(WP29)」によって検討が進められている、自動車業界におけるサイバーセキュリティ対策や、ソフトウェアのアップデートに関わる新たな規制における重要論点や課題などについて説明した。
自動運転車の実用化に伴い、進化し続ける「サイバーセキュリティ」への対策や、新たな機能を追加したり、より安全性を高めたりすることができる「ソフトウェアアップデート」は、自動車業界にとって重要な仕組みとなる。それに伴い、自動車メーカーやサプライヤーなど、自動車業界全体に新たな要件や体制が求められており、それを取り巻く規則の策定が進められているところだ。
国連欧州経済委員会(UN/ECE)のもとで活動するWP29は、自動車安全・環境基準の国際調和と認証の相互承認を多国間で審議する唯一の場となっている。WP29は、安全一般、衝突安全、騒音とタイヤ、排出ガスとエネルギーなどの部会とともに、自動運転に関する部会として「GRVA」を設置しており、同部会では産業界の意見を踏まえるとともに、ISOなどの国際標準化活動との連携を図りながら、自動運転の国際基準の策定を主導している。とくに自動運転に関しては、部会や専門家会合の多くで日本が議長や副議長を務めているのが特徴で、自動操舵や自動ブレーキ、自動運転認証などとともに、サイバーセキュリティに関する分科会でも日本が議長を務めて、検討を進めているところだ。
WP29のGRVAでは、サイバーセキュリティおよびソフトウェアアップデートに関する法規基準(WP29 GRVA CS/SU規則)を策定しており、PwCコンサルティング デジタルトラスト シニアマネージャーの奥山謙氏は、「WP29 GRVA CS/SUの法規基準に則ると、自動車メーカーは従来の型式認可に加え、サプライヤーを含むバリューチェーン全体を対象とした組織としての認可取得が求められたり、車両のライフタイム全般で、サイバーセキュリティおよびソフトウェアアップデートを適切に維持したりする必要が出てくる」と指摘する。
なお、6月24日深夜(日本時間)にオンラインで行なわれたWP29 第181回会合において、サイバーセキュリティおよびソフトウェアアップデートに関する国際基準が成立。ここでは、サイバーセキュリティおよびソフトウェアアップデートの適切さを担保するための業務管理システムを確保することや、サイバーセキュリティに関して、車両のリスクアセスメント(リスクの特定、分析、評価)およびリスクへの適切な対処、管理を行なうとともに、セキュリティ対策の有効性を検証するための適切かつ十分な試験を実施すること、危険・無効なソフトウェアアップデートの防止や、ソフトウェアアップデートが可能であることの事前確認など、ソフトウェアアップデートの適切な実施を確保することが要件として盛り込まれた。
WP29 GRVA CS/SUによるサイバーセキュリティ規則では、これまでは「車両」に関する要件だけだったが、新たに自動車メーカーの「組織」に対する要件が加えられ、車両の型式認可に先立って「組織」の認可を受けなくてはならないことが規定される。この「組織」の要件に適合すると、認可当局から「サイバーセキュリティ管理システム(CSMS)適合証」が発行され、3年ごとに更新する必要がある。「組織」に対する要件で自動車メーカーは、CSMSによって開発時、製造時、製造後(使用時)におけるセキュリティが十分に考慮されていることを証明しなければならない。
国土交通省 自動車局 審査・リコール課 企画係長の河野成德氏は、「車両に対するリスクの特定、特定されたリスクの評価、分類、処理、そして、特定されたリスクが適切に管理されていることを検証するといったそれぞれのプロセスに加えて、開発や製造段階をとおしてシステムのセキュリティをテストするために用いられるプロセス、サイバー脅威と脆弱性を監視し、特定するために用いられるプロセス、進化するサイバー脅威と脆弱性に適切に対応するために用いられるプロセスを、組織として持つことが規定される」という。
また、車両に関する要件では、サプライチェーン全体を通じた必要な情報収集と検証が行なわれること、USBポートや車載通信機器からの攻撃、あるいは、なりすまし攻撃などに対して、車両およびシステムの設計における適切な安全対策のほか、車両システムのリスク評価と重要なエレメントを保護する軽減策の措置が取られていることが規定されている。
WP29 GRVAのソフトウェアアップデートに関する国際基準も同様に、自動車メーカーの「組織」に関する要件と、「車両」に関する要件が規定されることになる。サイバーセキュリティと同じく、自動車の型式認可に先立って「組織」の認可を受ける必要があり、「組織」の要件に適合する場合には、認可当局から「ソフトウェアアップデート管理システム(SUMS)適合証」が発行され、こちらも3年ごとの更新制となっている。
「組織」については、車両ごとのソフトウェアバージョンと関連ハードウェアを特定できるように1台ずつ管理すること、ソフトウェアアップデートの安全性評価を事前にしっかりと行なうこと、ユーザーに対するソフトウェアアップデートの通知をすること、改ざん防止などのソフトウェア配信経路におけるセキュリティの確保を行なうことが規定される。
また「車両」では、ソフトウェアアップデートの信頼性や完全性の確保とともに、無効な更新の防止策を講じること、ソフトウェアバージョンを管理し、スキャンツールなどの標準的な方法でソフトウェアを読み出せること、無線通信環境の状況などによりアップデートが失敗した場合には、以前のバージョンに復元するか、安全な状態に戻ること、安全運転に影響する場合、更新中には運転できないことなどが規定される。
PwCコンサルティング 自動車 マネージャーの井上雄一氏は、「ソフトウェアアップデートの対象は、乗用車だけでなく、貨物トラックやトレーラーなども含まれる。また、無線だけでなく、有線でのアップデートも対象になる。そして、型式認可を受ける際には、必要な対策が実施されているかといったことを、実際のテストによって確認することも想定される。製品プロセスにおいては、ソフトウェアアップデート関連情報の管理や提供プロセスが必要となること、ソフトウェアアップデートプロセス関連情報の文書化が必要となること、ソフトウェアアップデートの対象となる車両を特定できるプロセスが必要となること、RXSWIN(ソフトウェア識別番号)によるソフトウェアバージョン情報の集約および管理が必要であることなどが規定される」。
「また、開発プロセスにおいては、ソフトウェアアップデートによる影響や安全性を評価するプロセスが必要となること、そのことに対するセキュリティ対策が必要となることなどが規定される。大規模なアップデートのために整備士などが必要な場合には、それを確実に実行できることを保証しなくてはならない。サプライヤーや整備工場などを含めた対応が必要になる部分もある」などと述べた。
さらに、国土交通省の河野氏は、「サイバーセキュリティおよびソフトウェアアップデートの規定については、定量的な試験法や基準値はなく、プロセスを審査することが特徴である。これは、脅威がシステムの仕様に応じて異なること、定量的な基準値を設けることが、むしろサイバー上の脅威になり得るためである。また、体制については自動車メーカーのみならず、サプライヤーやサービスプロバイダー、アフターマーケットまでを含めた大幅な管理体制が求められること、型式認可時だけでなく、開発時や製造時、製造後(使用時)までを含めて、自動車メーカーがサイバーセキュリティの脅威に対して、責任が規定されていることがポイントである。自動車メーカーは、車両が廃棄されるまで、サイバーセキュリティ対策をアップデートしていかなくてはならない」とした。
自動車のライフサイクル全般に渡って、サイバーセキュリティ対策を取ることは、自動車業界全体で新たな体制を構築する必要がある。
PwCコンサルティングの奥山氏は、「これらの活動の実施には、これまでのリソースでは不十分。平時も常に監視をする必要があり、多くの自動車メーカーでは、サイバーセキュリティ専門組織が必要になる。また、自動車の出荷後にセキュリティ上の欠陥が見つかった場合には、自動車メーカーとサプライヤーが連携して対応する必要もある。サービスプロバイダーに攻撃があった場合も、自動車に影響を及ぼさないといった対策が必要である。さらに、今後増加するシェアリング特有の課題が発生した場合にも、それに対応する必要がある。自動車業界のサプライチェーン全体を対象にした取り組みが求められるのが、これからの大きな変化になる」と指摘する。
また、PwCコンサルティング 自動車 マネージャーの納富央氏も、「自動車メーカーにおいて、まずは中核となる数名でサイバーセキュリティ対策の検討を進め、来年にかけて、開発チームの人材にもセキュリティスキルを実装していかなくてはならないだろう。また、海外拠点でも同時並行的にセキュリティ担当者を配置していく必要がある。サプライヤーも、開発部門を巻き込んで体制を構築することになるだろう」などとした。
国土交通省の河野氏は、「従来のクルマは、セーフティが求められていたが、これからはそこにセキュリティが加わる。セーフティとセキュリティはまったく違うものである。セーフティは、型式認可の際に確認した安全に関する機能を、ユーザーなどによる点検や整備、定期的な車検によって維持することで確保していたが、セキュリティでは、脅威を悪用する第三者を想定することが必要であり、その能力は常に進化することを前提としなくてはならない。そのため、自動車メーカーは、販売後においても、車両のセキュリティを確保するために必要な対策を、継続的に講じることが必要になる。具体的には、販売後の車両のセキュリティ状態の監視、新たな脅威の特定など、車両を取り巻くセキュリティ情報の収集、さらには、特定された脅威に対する対策の有効性評価、適切なセキュリティパッチのユーザーへの提供など、必要に応じた対策の更新を行なうといった責任がメーカーに課せられる」とした。
その一方で、ユーザーの責任についても言及する。
国土交通省の河野氏は、「セキュリティ確保のために、ユーザーは、メーカーが提供するセキュリティパッチなどを確実に車両にインストールする責任を負うことになる。メーカーとユーザーのそれぞれが責任を果たすことで、車両のセキュリティがライフタイム全般に渡って確保されることになる。ユーザーがこの責任を果たすためには、自動車メーカーがアップデートの目的や内容、アップデートの所要時間、新たな機能の使用方法などを、車両に搭載された端末などを通じてユーザーに通知する必要がある」とした。
なお、欧州の自動車メーカーなどは、EUを離脱する英国を含めて、WP29 GRVA CS/SUに対応する動きがみられているが、北米の自動車メーカーなどではあまり注目されておらず、WP29 GRVA CS/SUではなく、サイバーセキュリティに関するISO/SAE21434に対応する動きがみられているという。また、日本では、ティア1と呼ばれる自動車メーカーの多くが、WP29 GRVA CS/SUに関心を持っているが、その姿勢については温度差があるほか、ティア2と呼ばれるサプライヤーなどでは、これから関心が高まる段階にあるとしている。
ちなみに、WP29本会議において同法規が成立すると、2021年に法規が発行され、各締約国が協定規則に基づいて型式認証を開始することになる。義務化の時期については国ごとに任されており、日本では2022年7月以降の新型車から適用することになる。
一方、日本では、2019年5月24日に交付された「道路運送車両法の一部改正」により、「保安基準対象装置への自動運行装置の追加」「自動運行装置等に組み込まれたプログラムの改変による改造等に係る許可制度の創設等」が盛り込まれ、運転者が担ってきた認知、予測、判断、操作といった能力を、一定の条件をもとにシステムが代替する自動運行装置について、国が安全基準を定めることができるようにしたほか、自動運行装置を含めた保安基準対象装置の使用過程において、ソフトウェアのアップデートを電気通信回線を使用して行なう際の許可制度を新たに創設。2020年秋以降、国土交通大臣の許可を得なければ、電気通信回線を通じたソフトウェアのアップデートができないようになる。
国土交通省の河野氏は、「改正道路運送車両法の保安基準が2020年4月から施行され、自動運行装置の保安基準として、国土交通大臣が定める走行環境条件内において、性能要件や安全要件を定めた。その1つとして、不正アクセス防止などのために、サイバーセキュリティを確保するための方策を講じること、適切なソフトウェアアップデートを確保するための方策を講じることが定められた」とする。
また、ソフトウェアのアップデートを電気通信回線を使用して行なう際の許可制度については、「これまでの道路運送車両法では、通信を活用した自動車の電子的な改造が大規模に行なわれることは想定されていなかったことから、サイバーセキュリティの確保を含め、改造が適切に行なわれることを確保する必要があるという課題に対応したものとなる。自動運転車のセキュリティ対策や、適切なソフトウェアのアップデートが、使用過程でも継続的に行われるようになる」とした。