自動車のサイバーセキュリティの重要性

自動車分野では、コネクテッド（Connected）、自動運転（Autonomous）、シェアリング・サービス（Sharing&MaaS、電動化（EV）という4つの変革が同時に進行し、100年に一度の大変革（CASE革命）が進展している。このような変革に伴い、自動車に係る攻撃や脆弱性などの脅威が拡大している。2015年には、フィアット・クライスラー・オートモービルズ社（FCA）のSUV車のジープ・チェロキーに対してモバイルネットワークを通じてエンジンなど遠隔から操作される脆弱性が報告され、140万台以上に及ぶ自動車の大規模なリコールに至り、業界におけるセキュリティの危機感が高まった。セキュリティ分野の国際会議Black Hat^（1）、国際コンペDEF CON^（2）などにおいては自動車のセキュリティ脅威が相次いで報告されている。自動車がハッキングされた場合、人命など安全に係る重大な事故を招く恐れがあることから、高いレベルのセキュリティが求められる。日本の自動車製造業は、2019年製品出荷額60兆円、日本の機械工業全体に占める割合が40.1%、就業者数は549万人にのぼり日本経済を支える基幹産業である^（3）。サイバーセキュリティは国際的な産業競争力、ブランド力を確保する上で重要となっていることからも、自動車サイバーセキュリティの重要性が高まっている。

サイバーセキュリティ法規とその影響

自動車サイバーセキュリティの脅威の高まりのもと、国際連合欧州経済委員会（United Nations Economic Commission for Europe）自動車基準調和世界フォーラム（WP29）ではサイバーセキュリティ専門家会議により、サイバーセキュリティとソフトウェアアップデートの国際規則が検討され、2020年6月に国連規則UN-R155（サイバーセキュリティ）^（4）、UN-R156（ソフトウェアアップデート）^（5）として合意された。これらの国連規則は、各国の法的拘束力を持つ型式認証の相互承認のための協定規則であり、欧州諸国や日本^*1など批准国で法規化されている。したがって、批准国では、これらの協定規則の認証を受けなければ、自動車の登録・販売ができないことになる。

2021年8月には自動車のライフサイクル全般を通してサイバーセキュリティ・エンジニアリングの要求事項を定めたISO/SAE21434^（6）が発行された。ISO/SAE21434は、ISO（国際標準化機構）とSAE International（米国自動車技術者協会）が共同で策定した国際標準で、国際規則UN-R155/UN-R156において要求されているサイバーセキュリティマネジメントシステム（CSMS）の構築を行うための参照標準となっている。ISO/SAE21434への適合は国際規則UN-R155/156に基づく型式認証を取得するためのガイドラインとして有効である^*1。国内においてサイバーセキュリティに関する型式認証は、2022年にソフトウェアアップデート（OTA）に対応している新型車から適用が開始されるため、2022年は自動車分野のサイバーセキュリティにとって大きな転換点となる。継続生産車、OTA未対応車も含めて2026年までに順次型式認証が適用されることが決まっているため、メーカーはセキュリティ対応を急がなければならない。

*1 道路運送車両の保安基準の細目を定める告示、国土交通省

自動車サイバーセキュリティ標準ISO/SAE21434