1. 主要ページへ移動
  2. メニューへ移動
  3. ページ下へ移動

製造業向けDX・セキュリティ情報発信メディア

記事公開日

最終更新日

自動車産業サイバーセキュリティガイドラインとは?

  • このエントリーをはてなブックマークに追加

~自動車関連産業は、サイバー攻撃から企業を守るための情報セキュリティ対策が必須に!自動車産業の「サイバーセキュリティガイドライン」について解説~

 

“蓄積されたノウハウを活かし、最適なシステムをトータルサポート”として様々なソリューションを提供している住友電設情報通信システム事業部が、製造業等に向けて様々な情報をお届けしたいと思っております。

今回は自動車関連産業のサイバーセキュリティーとそのガイドラインについて解説したいと思います。

昨今は工場のIT化によって様々な機器がオンライン化されメーカーのみならずサプライチェーン全体がネットワークに繋がるようになってきています。そのような環境に中でプログラミングやネットの進化やAIの登場でサイバーセキュリティー高度化と頻度の上昇が顕著になってきているので重要度が高まってきています。

 

■目次

  1. セキュリティガイドライン策定の背景と目的
  2. サイバーセキュリティガイドラインの概要
  3. 中小企業のサイバーセキュリティガイドラインとの向き合い方?
  4. チェックシートの使い方と達成するまでのステップ
  5. まとめ

 

  1. セキュリティガイドライン策定の背景と目的?

自動車産業のサイバーセキュリティガイドラインは、日本自動車工業会(略称:自工会)と自動車部品工業会(略称:部工会)が自動車メーカーやそのサプライヤーが、サイバー攻撃から自社を守るための具体的な対策をまとめたものです。

 

昨今のサイバー攻撃は、高度化しAI等により攻撃量も非常に増えてきております。特に自動車産業は、国外での認知度も高く、標的になりやすいだけでなく、業界のすそ野が広くサプライチェーンが広く多くなっています。そのような環境の中、自動車メーカーの自社内環境だけでなくサプライチェーンを狙った攻撃が増加しており、自動車産業を取り巻くサイバーセキュリティリスクは深刻化しています。

 

サプライチェーンを狙った攻撃とは、サイバーセキュリティに強い大企業を直接狙うのではなく、より対策が手薄な関係先の中小企業の方が攻撃が容易なため、関係企業や取引先のネットワークへの不正アクセスや、企業間の情報ネットワークを利用して行う攻撃のことです。

IPA(独立行政法人情報処理推進機構)が発表した「情報セキュリティ10大脅威2024」の組織編でも、「サプライチェーンの弱点を悪用した攻撃」は第2位の脅威として選ばれています。

https://www.ipa.go.jp/security/10threats/10threats2024.html

 

このような環境の中で業界を取り巻くサイバーセキュリティのリスクを正確に理解しながら業界全体でサイバーセキュリティリスクに適切な対処を行うために、自動車産業全体のサイバーセキュリティ対策のレベルアップや対策レベルの効率的な点検を推進することを目的として、日本自動車工業会(JAMA)、日本自動車部品工業会(JAPIA)が、共同でセキュリティガイドライン(対策項目、基準)を初版を2020331日に発表しました。その後20223月に改良版のセキュリティガイドライン(v2.0)が出され、20239月に自己評価結果の提出方法のシステム化に伴う入力項目追加と誤記修正を実施したセキュリティガイドライン(v2.1)が発表されています。

このガイドラインには、企業の規模によらずに利用できる必要最低限実施すべきとした項目と、更なるレベルアップ項目を追加した全21項目の要求事項と153項目の達成条件が記述されています。

※参考

自工会/部工会・サイバーセキュリティガイドライン V2.1 (日本語版)

https://www.jama.or.jp/operation/it/cyb_sec/docs/cyb_sec_guideline_V02_01.pdf

 

自工会/部工会・サイバーセキュリティガイドラインV2.1Rev1解説書(日本語版)

https://www.jama.or.jp/operation/it/cyb_sec/docs/cyb_sec_guideline_manual_v02_01_rev1.pdf

 

 

  1. サイバーセキュリティガイドラインの概要

サイバーセキュリティガイドラインは下記のような内容になっています。

 

  • ガイドラインの対象について
  • ガイドラインの構成(要求事項と対象会社)
  • 活用方法と要求事項と達成条件

 

  • ガイドラインの対象について

現時点でのガイドラインが想定しているのは、自動車産業に関係する全ての会社のサイバーセキュリティ業務に関わっている部門の責任者や担当者としています。

そう聞くと、情報システム部門や企業によっては総務が対象なんだと感じるかもしれませんが、そのような部門だけでなく、サプライチェーンの管理責任を負う購買や調達部門も含まれています。また、ネットワークセキュリティのことなので全社的なOA環境が対象となるため、全社的な取り組みが必要になってきます。

 

※図の出典:自動車産業サイバーセキュリティガイドライン 4P

      https://www.jama.or.jp/operation/it/cyb_sec/docs/cyb_sec_guideline_V02_01.pdf

 

  • ガイドラインの構成(要求事項と対象会社)

次にガイドラインの構成として、このガイドラインが要求する事項とそれぞれの対象となる会社が整理されています。ガイドラインは自動車業界に携わるすべての会社が活用できるように21の要求事項とそれを細分化した153の達成条件で構成されています。これを聞くと「達成条件が153もあるのか」と感じるかもしれませんが、達成条件はレベル1~レベル3の三段階に分かれていて、各レベルでの対象となる会社と達成条件が分かれています。

各レベルの定義と達成条件は以下のようになります。

 

(自動車産業サイバーセキュリティガイドライン P5の図を参照し作成)

 

Lv1では50項目が達成すべき内容になっており、レベルが上がる毎に追加されて行くことになります。Lv3の会社は153項目すべてを達成する必要がありますが、ほとんどの中小企業はLv1から2に入るのではないかと思います。

自社がどの部分に該当しどのような達成事項があるのかはガイドラインにも記載がありますが、自工会が付録の解説やチェックリストを準備してくれていますので合わせて確認すると良いと思います。

 

自工会HPhttps://www.jama.or.jp/operation/it/cyb_sec/cyb_sec_guideline.html

 

  • 活用方法と要求事項と達成条件

ガイドラインでは想定される活用方法として下記の様に記載されています。

 

  • 企業におけるセキュリティポリシーの策定及び対策の実装

ガイドラインと付録のチェックシートを参照し、要求事項及び各レベルの達成基準を確認することで、自社のセキュリティポリシー策定及びサイバーセキュリティ対策の計画・実行に取り組むことができます。よくある質問等をまとめた解説書もありますのでわからない箇所に関しては参照しましょう。

 

  • 自動車産業における信頼のチェーン構築への活用

自動車業界全体で共通のガイドラインとチェックシートを用いることでセキュリティ対策の実行状況を同じ物差しで確認することで、業界の会社間取引におけるサイバーセキュリティ対策ができているかが明確になり、信頼できるサプライチェーンの構築に活用することができます。

 

  • 企業内のセキュリティの教育・訓練・啓発活動への活用

ガイドラインやチェックリストを用いることで、自社の現在のサイバーセキュリティ対策の状況を適切に把握できます。また、自社に適したサイバーセキュリティに関する教育・訓練、啓発活動に活用することができます。

 

要求項目の数だけ見ると多く感じるかもしれませんが、まずはチェックシートを活用して自社の点検を行ってみて、サイバーセキュリティとして何が足りていないのかを明確化することが重要です。

 

  1. 中小企業のサイバーセキュリティガイドラインとの向き合い方?

 

自動車業界に関係していると、このガイドラインが今後の取引において需要になってくることは理解していただけると思います。

まずはチェックシートで自社の状況を点検してみることが大事です。

 

チェックシートを確認するとわかりますが、特にLv1はほとんどがルール・仕組(手順作り)作りとその周知の実施であることが分かります。

サイバーセキュリティはインターネットに繋がっていれば起こることなので、IT部門や情報システム部門だけが行うものではありません。今やほとんどの人がスマートフォンを持っており、PCを使って仕事をしている限り全社的な取り組みをする必要があります。

つまり、経営者自らが重要性を理解したうえで旗を振って進めていくことが重要になります。

チェックシートの参考事例にも「経営者の責任」という項目を作りその責任を明確にしている事例が記載されています。サイバー攻撃があれば、全社的に仕事が止ったり取引業者に迷惑をかけることも想定されます。そのため、サイバーセキュリティ対策の責任者は経営者になってきます。

そのため、大事なことは経営者自身が当事者意識を持って全社的に取り組んでいくことが重要です。

その後チェックシートで未実施の項目があれば、関係部門の責任者を集めたプロジェクトチームを作り、対策を検討していく流れになると思います。そうしてこの要求事項の達成基準を参考にできるところからとにかく進めていくことが大事です。

 

また、自動車業界に関係ない企業は、“サイバーセキュリティなんて自分たちは関係ない”と思うかもしれません。

ただ、IPA(独立行政法人情報処理推進機構)が発表した「情報セキュリティ10大脅威2024」の1位は「ランサムウェアによる被害」です。ランサムウェアはデータを人質にして金銭を要求する攻撃で表面化しているだけでも多くあります。特にこのような攻撃はネットの脆弱性を狙うか、個人への攻撃から始まるケースが多いので自動車産業サイバーセキュリティガイドラインを参考にするかIPAが発表している中小企業向けのサイバーセキュリティガイドラインを参照し自社を点検してみても良いのではないでしょうか。

 

※参照:IPA 中小企業の情報セキュリティ対策ガイドライン第3.1

 https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055520.pdf

 

 

  1. チェックシートの使い方と達成するまでのステップ

ここまで読んでいただいた方は、このガイドラインを進めていこうと考えておられると思います。ただ「要求項目が多すぎるから難しそう」と感じる方も多いのではないでしょうか。

そこで、チェックシートの具体的な使い方をご紹介したいと思います。

まず、自工会の該当ページ(下部に記載)からエクセルのチェックシートをダウンロードします。

※参照:自工会サイバーセキュリティガイドライン チェックシート

   https://www.jama.or.jp/operation/it/cyb_sec/cyb_sec_guideline.html

 

そしてチェックシート(エクセル)の自動車産業 セキュリティチェックシート(レベルアップ版)というシートの右端に、「評価結果」という欄があり、「2点:対策完了」「1点:対策中」「0点:未実施」「該当なし」をプルダウンより選べるようになっています。要求事項や達成条件を見ながら、まずはそこに自社の現状の状態を選択してみましょう。

その時注意したいのが、レベルです。同じラベルの中にLv1からLv3までが混在しているので自社のレベル達成を目指すべき会社の定義を確認して必要なレベルでつけてください。

同じエクセルの別シートでレベルに応じて達成率が出てきます。もちろん達成率100%が理想ですが、まずは自社の状況を把握し、できるところから始めることが重要になります。

そうして把握できた自社の現状を元に関係する部署(基本的に全部門関係するので全部署の代表)の代表でプロジェクトチームを組成して実施に向けた対応策を検討し各項目の責任者を立てて時期を決めて取り組んでいきましょう。

 

一方で社員への周知や理解度の向上に関して自社内では難しい場合もあります。なぜなら、自社への勉強会の実施や達成項目に関する指摘はIT関係なので難しいと考える社員も多くおり、そのような中で自社の社員が説明をするのは遠慮やなれ合いが発生して難しいことが多くあります。

そのような場合は外部の専門家やコンサルティング業者等に依頼することも一つの方法です。

 

また中小企業では、ネットワークインフラがベンダーや導入時期ごとにバラバラだったりするとケースが多くあります。ネットワークの脆弱性をコントロールするためにはできる限り統一すると手順が単純になるので要求事項の達成に近づきます。

外部業者を選ぶ際には上記の点を踏まえて提案をしてくれるかどうかが重要です。

 

 

弊社では、「サイバーセキュリティワンストップサービス」というサービスを提供しています。これはクライアントと伴走しながらサイバーセキュリティ対策についてコンサルティングからセキュリティポリシーや運用設計、インフラ構築、運用支援、さらには対応状況の評価や継続教育まで、求められるサイバーセキュリティガイドラインへの対応・推進をワンストップでご支援するサービスとなっています。

自動車工業会のサイバーセキュリティガイドラインの改定にも順次対応し、ご利用企業へ運用改善と情報提供を行っています。

 ソリューションホームページ

※サイバーセキュリティワンストップサービスサイト:https://www.sem.co.jp/inet/solution/csos

※サイバーセキュリティワンストップサービス動画

CSOS ソリューション紹介

※サイバーセキュリティワンストップサービスの活用の事例を下記のリンクでご紹介します。是非ご確認ください。

 CSOS 導入事例

 

  1. まとめ

ICT技術の進化と浸透やAIの実用化によってサイバー攻撃も飛躍的にレベルアップし、頻度や複雑度が増しています。またあらゆる機器がネットワークに繋がるようになっているだけでなく、自社内だけでなく社外の関係先ともネットワークで繋がったり、メール・メッセージアプリ等のIT機器での通信を行う環境が当たり前になった現状では、思わぬところにサイバー攻撃のリスクが存在するような時代になっています。

そのため、自社が攻撃を受けた場合、取引先やお客様にもリスクは及びます。またランサムウェア攻撃では身代金を要求されるので直接的な金銭リスクが伴います。さらに関係先やサプライチェーンが攻撃を受けても自社に波及する可能性も高まっていてまさにサイバーセキュリティ対策は待ったなしで行わなければなりません。

ITのことはよくわからないから該当部門に任せているという経営者もいらっしゃるかもしれませんが、リスクの大きさを考えると経営者自身が当事者意識を高めて取り組んでいくことがサイバーセキュリティ対策においては最も重要なことです。

“よくわからない”“自社には関係ないだろう”と考えず、外部専門家なども積極的に活用することを考えることが必要です。現代においてはサイバーセキュリティの向上が今後の会社の利益・損失回避に直結することを理解して自社のサイバーセキュリティを高めていきましょう。

 

  • このエントリーをはてなブックマークに追加

関連記事

最新記事

アーカイブ

アーカイブ全てを表示

カテゴリ

カテゴリ全てを表示

タグ

タグ全てを表示

お問い合わせ

製造現場のDX・セキュリティに確かな解決策をご提供いたします。
以下よりお気軽にお問い合わせください。