自動車業界を守る！サイバーセキュリティガイドライン概要解説！

2024.02.09

自動車業界を守る！サイバーセキュリティガイドライン概要解説！

セキュリティノウハウ

IT・デジタル技術の発展により、様々な情報にインターネットを介してアクセスできるようになっている現代において、サイバー攻撃の脅威から企業を守るためのサイバーセキュリティ対策は必須のものとなっています。

そのため、様々な業界が独自のセキュリティガイドラインを定め、業界全体でサイバーセキュリティ対策に取り組む動きが活発化しています。

そこで、今回は自動車業界にスポットライトを当て、日本自動車工業会(JAMA)、日本自動車部品工業会(JAPIA)が共同で策定している「自工会/部工会・サイバーセキュリティガイドライン」について解説します。

ガイドラインの原文はこちらから確認することができます。

目次 ➖

セキュリティガイドライン策定の背景
セキュリティガイドライン策定の目的
サイバーセキュリティガイドラインの概要
まとめ

セキュリティガイドライン策定の背景

自動車業界を取り巻くサイバーセキュリティリスクが深刻化している

自動車業界は近年、技術革新が進み、100年に1度と言われる大変革期を迎えています。

そのため自動車業界では、モビリティ社会の実現と業界の継続的な発展のためのIT・デジタル技術の利活用が推進されています。

IT・デジタル技術を利活用するうえで、外部からのサイバー攻撃へのセキュリティ対策は必須です。

また、近年のサイバー攻撃の傾向として、サプライチェーンを狙った攻撃が増加傾向にあります。

サプライチェーンを狙った攻撃とは攻撃対象の企業を直接狙うのではなく、関係企業や取引先のネットワークへの不正アクセスや、企業間の情報ネットワークを利用して行う攻撃のことです。

サイバーセキュリティ対策が強化された大企業を狙うより、対策が手薄な関係先の中小企業の方が攻撃が容易なため、サプライチェーンが狙われるようになりました。

IPA(独立行政法人情報処理推進機構)が発表した「情報セキュリティ10大脅威2024」の組織編でも、「サプライチェーンの弱点を悪用した攻撃」は第2位の脅威として選ばれています。

「サプライチェーンの弱点を悪用した攻撃」の実例として、2022年2月に取引先の部品メーカーがサイバー攻撃を受けたことによって、大手自動車メーカーの国内全工場の稼働が停止したというものがあります。

実際のニュース記事はこちら（出典：日経BP＞日経クロステック）です。

セキュリティガイドライン策定の目的

業界全体でサイバーセキュリティ対策の向上を推進するために策定された

自社を直接狙った攻撃だけでなくサプライチェーンを狙った攻撃がある以上、サイバーセキュリティ対策は業界全体で取り組む必要があります。

そこで、JAMAとJAPIAは自動車業界特有のサイバーセキュリティのリスクを考慮した評価基準を明確にして、業界全体のサイバーセキュリティ対策のレベルアップを推進することを目的とした「自工会/部工会・サイバーセキュリティガイドライン」を2020年3月31日に発行しました。

2023年9月1日に発行された第2.1版が最新版となっています。(2024年1月現在)

サイバーセキュリティガイドラインの概要

サイバーセキュリティガイドラインの概要として本記事では

・ガイドラインの対象(想定読者)

・ガイドラインの活用方法

・ガイドラインの構成内容

の3点について解説します。

ガイドラインの対象(想定読者)

ガイドラインの対象(想定読者)は、自動車産業に関係する全ての会社のサイバーセキュリティ業務に関わっている部門の責任者や担当者です。

サイバーセキュリティ業務に関わっている部門には、情報システムの開発・運用やセキュリティ対策を行っている部門だけでなく、サプライチェーンの管理責任を負う購買や調達部門も含まれています。

ガイドラインの構成内容

ガイドラインは自動車業界に関わる全ての企業が活用できるように、21の要求事項とそれを細分化した153の達成条件で構成されています。

達成条件は、レベル1からレベル3の3段階に分かれていて、各レベルの定義と達成を目指すべき企業は以下の図の通りです。(図1参照)

そのほかにも、付録としてガイドライン内の用語や要求事項、達成基準などを解説している解説書や、企業のサイバーセキュリティ対策の取り組み状況を自己評価し、対策レベルの確認を行うためのチェックシートがあります。

付録の詳細はJAMAのWebサイト内で確認することができます。

サイバーセキュリティガイドラインにおけるレベル1～3の定義と達成を目指す企業について示した図

図1.自動車産業サイバーセキュリティガイドラインのレベル定義
(自動車産業サイバーセキュリティガイドライン P5の図を基に作成)

ガイドラインの活用方法

ガイドライン内で想定されている活用方法は以下の3つです。

1.企業におけるセキュリティポリシーの策定及び対策の実装

ガイドラインと付録のチェックシートを参照し、要求事項及び各レベルの達成基準を確認することで、自社のセキュリティポリシー策定及びサイバーセキュリティ対策の計画・実行に取り組むことができます。

2.自動車産業における信頼のチェーン構築への活用

自動車業界全体が、共通のガイドラインとチェックシートを用いてセキュリティ対策の実行状況を確認することで、業界の企業間取引におけるサイバーセキュリティ対策ができているかが明確になり、信頼できるサプライチェーンの構築に活用することができます。

3.企業内のセキュリティの教育・訓練・啓発活動への活用

ガイドラインを用いることで、自社の現在のサイバーセキュリティ対策の状況を適切に把握することで、自社に適したサイバーセキュリティに関する教育・訓練、啓発活動に活用することができます。

まとめ

自動車業界は、技術革新によって100年に1度とも言われる大変革期を迎えています。

そのため、JAMAとJAPIAは自動車業界特有のサイバーセキュリティのリスクを考慮した評価基準を明確にして、業界全体のサイバーセキュリティ対策のレベルアップを推進することを目的としたサイバーセキュリティガイドラインを発行しました。

ガイドラインではレベル1～3の3段階、21の要求事項と153の達成条件で構成されていて、「セキュリティポリシーの策定及び対策の実装」、「信頼できるサプライチェーンの構築」、「セキュリティに関する教育・訓練、啓発活動」に活用することができます。

IT・デジタル技術の発達している今、自社が達成すべきレベルを確認して達成に向けて行動することが重要となっています。