Open Innovation Platform
FOLLOW US

車のサイバーセキュリティ法規施行まで秒読み その中身と各国の対応は?

ET&IoTのセミナー「自動運転とサイバーセキュリティの最新動向(2020年版)」に登壇する一般社団法人日本自動車工業会の川名茂之氏

ET&IoTのセミナー「自動運転とサイバーセキュリティの最新動向(2020年版)」に登壇する一般社団法人日本自動車工業会の川名茂之氏

 コネクテッドカーや自動運転車の実用化は、私たちの生活にさまざまなメリットをもたらすことになる。その一方、車がネットワークにつながることで、外部からのサイバー攻撃が可能となる。2015年に公表されたクライスラーのジープへの不正侵入の事例では、車へのサイバー攻撃が可能なことが示されており、そのリスクは今後ますます大きくなるだろう(参考過去記事:自動車もサイバー攻撃の対象に その対策は?)。

 こうした車へのサイバー攻撃は、今後新たに深刻なセキュリティ上の脅威となると受け止められ、その対策が議論されてきた。自動車は世界各国で製造され、輸出入されるものであるため、サイバー攻撃への対応も各国で足並みをそろえる必要がある。そのため自動車のサイバーセキュリティとソフトウェアアップデートに関する取り決めは、国連欧州経済委員会(United Nations Economic Commission for Europe)内で自動車の安全・環境基準の国際調和に取り組む「自動車基準調和世界フォーラム(WP29)」の分科会「自動運転(GRVA:Groupe de Rapporteurs pour les Véhicules Autonomes)」において検討されてきた。

 その内容をまとめたサイバーセキュリティ法規「UNR155」が、2020年11月12日に採択され、来年早々(2021年1月22日)施行される。

「UNR155」とはどのようなもので、自動車メーカーはどういった対応を迫られるのだろう。また日本を含めた各国はどう対応していこうとしているのか。

 2020年12月7日、エッジテクノロジーの総合展「ET&IoT Digital2020」において、「UNR155」作成メンバーのひとりである一般社団法人日本自動車工業会の川名茂之氏が登壇し、「自動運転とサイバーセキュリティの最新動向(2020年版)」と題したセミナーを行った。そこで川名氏は、「UNR155」についての解説や各国の動向を紹介した。

サイバーセキュリティ法規の2大要素

 川名氏の説明によると、サイバーセキュリティ法規は、大きく2つの要素で構成されている。

サイバーセキュリティ法規の2つの構成要素(セミナー資料より)
サイバーセキュリティ法規の2つの構成要素(セミナー資料より)

 そのひとつが、「CSMS(Cyber Security Management System)認証」だ。

 CSMS認証とは、自動車のサイバーセキュリティ対策を行うための業務管理システムに対する審査・認証だ。今後、自動車メーカーには、開発、生産の段階に加え、市場に出た後も常にサイバー攻撃などのリスクを評価、分析するための組織体制やプロセス構築が求められるようになり、それが適切な状況にあることを証明する必要が出てくる。

 さらに自動車メーカーにとって新たに大きな負担となるのは、部品やソフトウェアを提供する「サプライヤーの管理も求められること」だと川名氏は言う。

「今までは、車の中のみを対象とするものがほとんどでした。しかしサイバーセキュリティは、外とつながることが非常に重大なリスクになります。このため外のシステムおよび外の組織について(の管理が)しっかりできているかどうかも、認証対象となります」(川名氏)

「UNR155」の、もうひとつの重要な構成要素となっているのが「型式認証」だ。

 従来の「型式認証」は、自動車メーカーが新しく自動車を生産、販売する際に、国の保安基準をクリアしているかを審査してきた。「UNR155」が適用された後は、型式認証の審査を受けるにあたり、まず先述したCSMS認証を受けていることが前提となる。そして、CSMSで構築したプロセス通りの開発結果が車体や部品に反映されているかどうかなどが厳しく審査されるようになるとのことだ。

 さらに「UNR155」適用後の「型式認証」では、サイバー攻撃の侵入検知システムや、業界などでコンセンサスの取れた暗号モジュールの採用なども認証の対象となる。このため自動車業界だけでは対応しきれなくなると川名氏は指摘する。

「今後はいろいろなセキュリティベンダーや研究団体、あるいは他の業界の知見者と協力し、搭載スペースなどに制約がある中で、どうやって最新技術を載せられるかを並行して考えていかなければなりません」(川名氏)

各国の対応状況は

「UNR155」の採択を受け、各国はどのような対応を進めているのだろう。

「UNR155」の国内への適用時期(セミナー資料より)
「UNR155」の国内への適用時期(セミナー資料より)

 日本は、今回の「UNR155」を国内法規としてそのまま使うと発表している。自動運転の新型車については、2022年7月から「UNR155」が適用され、2024年7月からはすでに市場に出ている自動運転車にも適用される。さらに2026年5月からは、全ての車に「UNR155」が適用されるようになる。

 ヨーロッパ各国は、「UNR155」をそのまま導入することを決定している。新型車へは2022年、継続販売車には2024年から適用される予定とのこと。

 川名氏は欧州の大きな動きとして、「Euro NCAP(The European New Car  Assessment Programme)」の取り組みを挙げた。これはヨーロッパにおける自動車の性能などを、「衝突安全性能5つ星」といった形で表す評価プログラムで、主に保険業界が中心となり進めている。

 Euro NCAPは、自動車のサイバーセキュリティについても評価プログラムを作成する意向を示しており、すでにロードマップを作成済みだ。具体的な活動はこれからのようだが、参加国のひとつであるイギリスの認証コンサルティング会社のMIRAなどが、評価プログラムの作成に着手している。

 一方アメリカは、そもそも型式認証の制度がないため、「UNR155」とは別の国際法規の作成を提案している。

 ただ、トランプ政権時代には、こうした取り組みが実質ストップしていたようで、それが今回のバイデン氏への政権交代により、前進するのではないかと各国が期待を寄せているところだという。

 中国はといえば、次世代の自動車を「ICV(Intelligent Connected Vehicle)」と定義し、独自の標準規格を作成している。その中にサイバーセキュリティに関する項目を設け、「今、粛々とワーキングを起こして議論中」とのこと。

 2020年中国は、サイバーセキュリティに関する5つの技術要件を一般公開し、パブリックコメントを募った。それに対して川名氏らは、いくつかのコメントを出したという。

「実現不可能なものから、非常に難しいもの、もしくは意味のわかりにくいものに関してコメントを出していますが、今のところ真摯に答えていただいているという印象です」(川名氏)

「UNR155」は施行まで秒読み段階に入ったが、各国それぞれの思惑があり、足並みがそろうにはまだ時間がかかるようだ。

Written by
有限会社ガーデンシティ・プランニングにてライティングとディレクションを担当。ICT関連や街づくり関連をテーマにしたコンテンツ制作を中心に活動する。