2020年にWP.29で採択されたUN R155/156を受けて、国内では道路運送車両法に関連する法令の一部が改正されました。2022年7月以降に販売される新型車両(無線によるソフトウェアアップデート対応車両)に改正法がまず適用されます。そして、無線によるアップデートに対応していない新型車両は、2024年6月から適用されます。この改正のポイントは、従来の型式認証の前にプロセス認証(CSMS適合証明書)が追加されている点です。プロセス認証の狙いは、組織レベルで確立されたサイバーセキュリティプロセスに従って製品が開発されている証拠に基づいて、サイバーセキュリティに関する車両性能を担保することであると考えられます。本メルマガでは、法規適用開始までの限られた時間の中で、サイバーセキュリティマネジメントシステム(CSMS)の構築、及び適合証明書を取得するためのポイントを簡単に紹介します。
UN R155で要求されているCSMSの多くは、サイバーセキュリティ固有のプロセス要求を除いて、既存のマネジメントシステムに追加することで対応できます。ここで、改めてUN R155 7.2項で規定されているCSMSの要求事項を確認してみましょう。
7.2.2.2:CSMSのプロセス要求(具体的なプロセスは、以下の(a)から(h))
7.2.2.2(a):CSMS全体管理(組織内で使用されるサイバーセキュリティを管理するためのプロセス)
7.2.2.2(b):リスク特定・分析
7.2.2.2(c):リスク評価・処置
7.2.2.2(d):リスク管理
7.2.2.2(e):サイバーセキュリティテスト
7.2.2.2(f):リスクの更新
7.2.2.2(g):サイバーセキュリティの監視と対処
7.2.2.2(h):サイバーセキュリティの情報提供、共有
7.2.2.3:サイバー脅威、及び脆弱性への対応時間
7.2.2.4:サイバーセキュリティの継続的な監視
7.2.2.5:サプライヤ管理
上記CSMS要求の中で、7.2.2.2(e)、(f)、(g)、(h)、7.2.2.3、7.2.2.4はサイバーセキュリティ固有の要求事項です。これら以外の要求事項は、品質マネジメントシステム(ISO 9001、IATF 16949)、及び情報セキュリティマネジメントシステム(ISO/IEC 27001)の該当項番に追加することで対応します。この時のポイントは、品質マネジメントシステムと情報セキュリティマネジメントシステムは、項番に相似性があるため、CSMS要求事項を追加する際に、統合化することをお勧めします。例えば、7.2.2.2(a)は、サイバーセキュリティを管理するために組織内で使用されるプロセスの要求事項で、組織のセキュリティ方針が規定され、その方針と一貫したプロセスが構築、適用されていることが求められています。これは、IATF16949、及びISO/IEC 27001では、5.1 リーダーシップ、及びコミットメント、5.2 方針、5.3 組織の役割、責任及び権限、7.1 資源に該当します。これらを両規格間で統合し、サイバーセキュリティに対する組織の方針、役割などを追加します。同様に、7.2.2.2(b)、(c)の要求事項は、両規格の6.1 リスク及び機会への取組みに追加します。
一方、サイバーセキュリティ固有の要求事項である7.2.2.2(f)、(g)、(h)、7.2.2.3、7.2.2.4は、市場に出た後の車両に対するサイバー攻撃の監視、及び脆弱性管理を継続することを要求しています。新しいサイバー攻撃、及び脆弱性に関する情報を継続的に収集し、製品への関連を分析、脆弱性の評価、対応までをタイムリーに行う体制とプロセスが必要になります。また、車両メーカは、この継続的な監視と管理活動について、認証局への報告も必要です。そのために、PSIRT(製品のセキュリティインシデント対応チーム)を構成し、これらの活動を実施します。ただし、PSIRTによる活動のポイントは、サイバーセキュリティの情報収集の仕組み、セキュリティ情報の分析、及びタイムリーに解決する能力を持つ人員の確保とタイムリーに解決するためのノウハウの蓄積です。
弊社では、今回紹介しましたCSMS構築、及び適合証明書を取得するためのポイントを詳細に解説するセミナーをデロイト トーマツ サイバー合同会社と共同で、6月3日にオンライン形式で開催いたします。ご興味のある方は是非セミナーへお申し込みください。
(共同セミナーの申し込みページ:https://biz3.co.jp/publictraining/4564)
2022/5/16 小西 晃輔