自動車を取り巻くセキュリティ環境
近年の自動車産業界におけるサイバーセキュリティへの急速な関心の高まりは、CASE(*1)に代表される自動車産業そのものの変革を背景としている。自動車に初めてソフトウェアが搭載されて以来、ソフトウェアの役割と規模は拡大の一途を辿ってきた。それに伴い自動車はソフトウェア改ざんをはじめとするサイバー攻撃にさらされるようになり、これまで各メーカーはそうしたリスクに独自に対処してきた。しかし近年のCASE領域の革新にはサイバー攻撃の経路増加、機会増加、さらには損害増大につながる側面があり、サイバーセキュリティリスクの急速な増大への対処が自動車業界全体の急務となった。
WP.29によるサイバーセキュリティに関するレギュレーションの発行
前述の状況を受けて、国連の下部組織である自動車基準調和世界フォーラム(以降 WP.29)では、自動車サイバーセキュリティに関する2つのレギュレーションUN-R155とUN-R156が合意された。これらはいずれも、車両型式認証を取得する際の追加要件を規定しており、UN-R155では自動車のサイバーセキュリティ及びその管理システムに関する要件を、UN-R156ではソフトウェアアップデートおよびその管理システムに関する要件を扱っている。これらのレギュレーションに対しては1958年協定に加盟している全58か国が批准する見通しであり、欧州では新型車両の型式認証は2022年7月以降、継続生産車両は2024年7月以降適合が必須となる。日本政府もこれらのレギュレーションへの批准を宣言しており、無線ソフトウェアアップデート対応車両では欧州同様のタイミングで適合必須となり、無線ソフトウェアアップデート非対応車両では新型車が2024年1月以降、継続生産車が2026年5月以降、適合必須となる。
これらのレギュレーションにはそれぞれ、適合のガイドラインとして機能する規格が存在しており、UN-R155にはISO/SAE 21434が、UN-R156にはISO 24089が対応する。
ISO/SAE 21434とは
ISO/SAE 21434は、路上を走行する車両内部のE/Eシステムのエンジニアリングにおける、サイバーセキュリティ観点でのプロセス定義およびリスク管理をガイドする目的で作成された国際規格である。対象となるフェーズはコンセプトから廃棄に至る自動車のライフサイクル全体であり、対象となるアイテム、コンポーネントには、車両および車両のシステム、部品、ソフトウェアに加え、ネットワークにより車両へ繋がる外部デバイス(カーナビ、ETC車載機など)も含まれる。ISO/SAE 21434は前述の国際レギュレーションの内UN-R155に対応する規格となっており、要求事項を正しく理解して組織および製品に適用することによって、UN-R155の規定を満足することが可能となる。
ISO/SAE 21434の全体構造
ISO/SAE 21434はClause1からClause15までの15節およびAnnex A~Hの付属書で構成されている。各節の内容は以下の通りである。
Clause 1:適用範囲
Clause 2:引用規格
Clause 3:用語、定義および略語
Clause 4:一般的な考慮事項
Clause 5 : 組織的なサイバーセキュリティ管理
Clause 6 : プロジェクト依存のサイバーセキュリティ管理
Clause 7 : 分散サイバーセキュリティ活動
Clause 8 : 継続的サイバーセキュリティ活動
Clause 9 : コンセプト
Clause 10 : 製品開発
Clause 11 : サイバーセキュリティ妥当性確認
Clause 12:生産
Clause 13:運用および保守
Clause 14:サイバーセキュリティサポートの終了および廃車
Clause 15:脅威分析およびリスクアセスメント手法
Clause 1:適用範囲
Clause 2:引用規格
Clause 3:用語、定義および略語
Clause 4:一般的な考慮事項
Clause 5 : 組織的なサイバーセキュリティ管理
Clause 6 : プロジェクト依存のサイバーセキュリティ管理
Clause 7 : 分散サイバーセキュリティ活動
Clause 8 : 継続的サイバーセキュリティ活動
Clause 9 : コンセプト
Clause 10 : 製品開発
Clause 11 : サイバーセキュリティ妥当性確認
Clause 12:生産
Clause 13:運用および保守
Clause 14:サイバーセキュリティサポートの終了および廃車
Clause 15:脅威分析およびリスクアセスメント手法
サイバーセキュリティの基本アプローチ
ISO/SAE 21434を読み解くと、記載されている要求事項は大きく2つのアプローチに分類可能であることが分かる。一つはサイバー攻撃を想定して適切な対策を製品に組み込む「セキュア設計」のアプローチであり、もう一つは製品のセキュリティを確保、維持するための仕組みと体制を構築する「セキュアプロセス」のアプローチである。セキュア設計の成果は、製品のセキュリティ機能やセキュリティ特性として現れ、セキュアプロセスの成果は、組織内に加えサプライヤーも含めて運用されるサイバーセキュリティ管理システム(CSMS)として現れる。
ここで、いずれのアプローチにおいても重要になるのがリスクベースの考え方である。ISO/SAE 21434はその成り立ちにおいて、ISO 31000(リスク管理ガイドライン)を基盤としている。設計開発から運用、廃棄までの全ライフサイクルを通して、サイバーセキュリティ関連のリスクを識別、分析、評価、管理するということが、ISO/SAE 21434の要求の本質である。
ISO/SAE 21434 Part.5より抜粋
サイバーセキュリティ認証の仕組み
自動車サイバーセキュリティに関するレギュレーションUN-R155の認証は、新型車両の型式認証の際に国の任命を受けた認証機関により実施される。OEMは認証機関に対し、製品におけるサイバーセキュリティ上のリスクが十分に低減(セキュア設計)されていることを論証するとともに、組織が適切なCSMS(セキュアプロセス)を有していることの証明も併せて行う必要がある。セキュア設計の論証は型式認証の都度個別に行う必要があるのに対し、セキュアプロセスの証明は一度認証されれば組織に「CSMS適合証明」が発行され、証明書は有効期間中であれば他の型式認証にも利用可能である。CSMS適合証明は、プロセスの変更がない限り3年間有効となる。