サイバーセキュリティ 自動車産業のガイドライン 概要 2024年

※当サイトは、アフィリエイト広告を利用しています

2024.01.07

サイバーセキュリティの対策は、個人や各社での対応から、産業全体の対策が求められる時代です。

なぜなら、サプライチェーンがサイバー攻撃の被害に遭ったら、サプライチェーン全体が滞ってしまうことが実例から明白だからです。

しかも、特定の業種だけではなく、複数の業種や地域にも該当することも周知の事実となりました。

事例1)港湾のシステム被害により、該当の港での出荷/集荷できず物流ストップ(23年7月)

事例2)自動車部品工場のサイバー攻撃による被害で、グループ全ての完成車製造が停止(23年2月)

事例3)病院のサイバー攻撃による被害で、患者受入制限。地域医療に多大な影響(22年10月)

上記を受けて、各産業毎に、ガイドラインを作成する活動が2022年以降広がっています。
今回は、その中で自動車産業の取り組みについて概要を紹介します。

ー本記事では、自動車産業でサイバーセキュリティに携わる方向けに記載していますー

サイバーセキュリティ 自動車産業のガイドライン概要

以降の情報は、一般社団法人 日本自動車工業会(通常jama)のホームページの情報を一次情報とし、これまでの経験や知見を加味して記載します。

一次情報のホームページは、以下です。(https://www.jama.or.jp/operation/it/cyb_sec/cyb_sec_guideline.html

自動車産業のガイドラインの変遷

2020年に初版を作成、以下の変遷をたどり、2024年1月時点では2.1版が最新です。

日本自動車工業会(JAMA)、日本自動車部品工業会(JAPIA)が、共同でセキュリティガイドライン(対策項目、基準)を2020年3月31日に初版を策定しました。

初版で策定した項目に加え、更なるレベルアップ項目を追加したセキュリティガイドライン(v2.0)を2022年3月31日に改訂しました。

自己評価結果の提出方法のシステム化に伴う入力項目追加と誤記修正を実施したセキュリティガイドライン(v2.1)を2023年9月1日に改訂しました。

自動車産業のガイドラインの対象

現在のガイドラインは「第一弾」と位置付けられています。

第一弾では、エンタープライズ領域(会社全体のベースとなるOA環境)が対象です。

企業の規模によらずに利用できる必要最低限実施すべき項目に加え、更なるレベルアップ項目を追加した21項目の要求事項と153項目の達成条件を記述した文章からなっています。

なので、現時点でのガイドライン遵守対象は「会社全体のベースとなるOA環境」をチェック
で条件みたします。


第二弾以降は、

他分野(設備分野、販売店・車両)向けの項目整備も順次検討予定

とのことです。

なぜ自動車産業にガイドライン?

上記のjamaホームページの原文ママを以下に記載します。
一文でまとめるなら「サプライチェーンを狙うサイバー攻撃の影響が深刻なので、業界全体で対処します」でしょうか。

昨今のサイバー攻撃は、自社内環境だけでなくサプライチェーンを狙った攻撃が増加しており、自動車産業を取り巻くサイバーセキュリティリスクは深刻化しています。
このような環境の中で安全・安心で豊かなモビリティ社会と自動車産業の持続可能な発展を実現するためには、業界を取り巻くサイバーセキュリティリスクを正確に理解しながら業界全体でサイバーセキュリティリスクに適切な対処を行うことが必要不可欠です。

サイバーセキュリティ 自動車産業のガイドラインの構成

jamaのホームページ内に、ガイドラインとその解説書があります。詳細はそちらダウンロードいただけると確認できます。

再掲です:(https://www.jama.or.jp/operation/it/cyb_sec/cyb_sec_guideline.html

ガイドラインの構成

ガイドラインは、
①チェック項目
②上記チェック項目のレベル
③チェック項目のOK/NG条件と具体例
④評価入力(3段階)

が記載されています。

②については、項目毎にレベル1からレベル3まで定義してあります。
レベルの数値が上がるにつれ、高度かつ難易度が上がります。

サプライチェーンによっては、年度毎に到達目標を定めたりしているようです。

(今後紹介)ガイドライン遵守のポイント

今後、本ブログでは具体的なガイドライン遵守ポイントをチェック項目毎に紹介する予定です。

自動車産業ガイドラインのチェックで最も重要なことは

ガイドラインが公開されると、その評価結果を求めがちになります。
事実として、評価結果のスコアを対象に、到達目標が定められてしまいます。

ただし、大事なのは評価の結果を「何が何でも」高い評価にする必要はない という点です。

今のセキュリティ対策の事実を評価することのほうが大事です。

企業によって投資できる環境は異なります。優先度も異なります。
全てを満たせる企業はほんの一握りです。

今の対応状況とガイドラインで遵守を求める内容を比較する
  ↓
ギャップがあることを理解する
  ↓
ギャップのうち、優先度を決める
  ↓
優先度順に、お金や対応できる人員などのリソーセスを考慮しながら対応する
  ↓
対応できた項目は対応できた、とガイドラインの評価を更新する

ができれば問題ないと考えます。

ガイドラインの利用する目的は、以下の2点です。
・ギャップがあることを理解すること
・対策のうち、どれを優先して対策するか、順番付けの「ものさし」に使う

やってはいけないこと

やってはいけないこと、それは「対策できていないのに、できた」と評価することです。
ほんとうにサイバー攻撃の被害にあってしまった場合、影響を受けるのは評価した企業です。
影響を受けると売り上げや利益が吹き飛びます。

体裁のためだけに評価を変える事。これは避けてほしいです。

もし可能であれば、
評価のレベルとした理由を記録してほしいです。
担当者が変わっても、基準が変わらないようにするためです。

まとめ

自動車産業サイバーセキュリティガイドラインがなぜ求められているか
何をしてはいけないか

の理解が少しでも深まったのであれば、本記事は役割を果たしたと思います。
今後も追記しながら、充実を図っていきたいと思います。

コメント

タイトルとURLをコピーしました