自動車を取り巻くセキュリティ環境
近年の自動車産業界におけるサイバーセキュリティへの急速な関心の高まりは、CASE(*1)に代表される自動車産業そのものの変革を背景としている。自動車に初めてソフトウェアが搭載されて以来、ソフトウェアの役割と規模は拡大の一途を辿ってきた。それに伴い自動車はソフトウェア改ざんをはじめとするサイバー攻撃にさらされるようになり、これまで各メーカーはそうしたリスクに独自に対処してきた。しかし近年のCASE領域の革新にはサイバー攻撃の経路増加、機会増加、さらには損害増大につながる側面があり、サイバーセキュリティリスクの急速な増大への対処が自動車業界全体の急務となった。
*1) Connected(コネクテッド), Autonomous/Automated(自動化), Shared(共有化), Electric(電動化)
WP.29によるサイバーセキュリティに関するレギュレーションの発行
前述の状況を受けて、国連の下部組織である自動車基準調和世界フォーラム(以降 WP.29)では、自動車サイバーセキュリティに関する2つのレギュレーションUN-R155とUN-R156が合意された。これらはいずれも、車両型式認証を取得する際の追加要件を規定しており、UN-R155では自動車のサイバーセキュリティ及びその管理システムに関する要件を、UN-R156ではソフトウェアアップデートおよびその管理システムに関する要件を扱っている。これらのレギュレーションに対しては1958年協定に加盟している全58か国が批准する見通しであり、欧州では新型車両の型式認証は2022年7月以降、継続生産車両は2024年7月以降適合が必須となる。日本政府もこれらのレギュレーションへの批准を宣言しており、無線ソフトウェアアップデート対応車両では欧州同様のタイミングで適合必須となり、無線ソフトウェアアップデート非対応車両では新型車が2024年1月以降、継続生産車が2026年5月以降、適合必須となる。
これらのレギュレーションにはそれぞれ、適合のガイドラインとして機能する規格が存在しており、UN-R155にはISO/SAE 21434(現時点ではDIS版)が、UN-R156にはISO/AWI 24089(現時点ではWD版)が対応する。
ISO/SAE 21434とは
ISO/SAE 21434は、路上を走行する車両内部のE/Eシステムのエンジニアリングにおける、サイバーセキュリティ観点でのプロセス定義およびリスク管理をガイドする目的で作成された国際規格である。対象となるフェーズはコンセプトから廃棄に至る自動車のライフサイクル全体であり、対象となるアイテム、コンポーネントには、車両および車両のシステム、部品、ソフトウェアに加え、ネットワークにより車両へ繋がる外部デバイス(カーナビ、ETC車載機など)も含まれる。ISO/SAE 21434は前述の国際レギュレーションの内UN-R155に対応する規格となっており、要求事項を正しく理解して組織および製品に適用することによって、UN-R155の規定を満足することが可能となる。
ISO/SAE 21434の全体構造
ISO/SAE 21434はClause1からClause15までの15節で構成されている。各節の内容は以下の通りである。
Clause 1:スコープ
Clause 2:規範的参考文献
Clause 3:用語と略語
Clause 4:一般的な考慮事項
Clause 5 : 全体的なサイバーセキュリティ管理
Clause 6 : プロジェクト依存のサイバーセキュリティ管理
Clause 7 : 継続的なサイバーセキュリティ活動
Clause 8 : リスクアセスメント手法
Clause 9 : コンセプトフェーズ
Clause 10 : 製品開発フェーズ
Clause 11 : サイバーセキュリティ妥当性確認フェーズ
Clause 12:生産
Clause 13:運用と保守
Clause 14:廃車
Clause 15:分散サイバーセキュリティ活動
Clause 1:スコープ
Clause 2:規範的参考文献
Clause 3:用語と略語
Clause 4:一般的な考慮事項
Clause 5 : 全体的なサイバーセキュリティ管理
Clause 6 : プロジェクト依存のサイバーセキュリティ管理
Clause 7 : 継続的なサイバーセキュリティ活動
Clause 8 : リスクアセスメント手法
Clause 9 : コンセプトフェーズ
Clause 10 : 製品開発フェーズ
Clause 11 : サイバーセキュリティ妥当性確認フェーズ
Clause 12:生産
Clause 13:運用と保守
Clause 14:廃車
Clause 15:分散サイバーセキュリティ活動
サイバーセキュリティの基本アプローチ
ISO/SAE 21434を読み解くと、記載されている要求事項は大きく2つのアプローチに分類可能であることが分かる。一つはサイバー攻撃を想定して適切な対策を製品に組み込む「セキュア設計」のアプローチであり、もう一つは製品のセキュリティを確保、維持するための仕組みと体制を構築する「セキュアプロセス」のアプローチである。セキュア設計の成果は、製品のセキュリティ機能やセキュリティ特性として現れ、セキュアプロセスの成果は、組織内に加えサプライヤーも含めて運用されるサイバーセキュリティ管理システム(CSMS)として現れる。
ここで、いずれのアプローチにおいても重要になるのがリスクベースの考え方である。ISO/SAE 21434は規格全体を通じて、ISO 31000(リスク管理ガイドライン)に従ったリスク管理の実施を要求している。セキュア設計の面では、効果的なリスク低減のためにサイバー攻撃リスクの特定、分析、評価を実施することが要求され、セキュアプロセス面では、製品リリース後に市場で新たに特定されたリスクへの対処プロセス構築など、リスク管理の徹底が重要な要素となる。
サイバーセキュリティ認証の仕組み
自動車サイバーセキュリティに関するレギュレーションUN-R155の認証は、新型車両の型式認証の際に国の任命を受けた認証機関により実施される。OEMは認証機関に対し、製品におけるサイバーセキュリティ上のリスクが十分に低減(セキュア設計)されていることを論証するとともに、組織が適切なCSMS(セキュアプロセス)を有していることの証明も併せて行う必要がある。セキュア設計の論証は型式認証の都度個別に行う必要があるのに対し、セキュアプロセスの証明は一度認証されれば組織に「CSMS適合証明」が発行され、証明書は有効期間中であれば他の型式認証にも利用可能である。CSMS適合証明は、プロセスの変更がない限り3年間有効となる。