2025/02/18ガバナンス

サイバーセキュリティが必要とされる自動車業界～UN-R155～

トップ
インサイト
サイバーセキュリティが必要とされる自動車業界～UN-R155～

執筆：CISO事業部　寺田茉莉子
監修：CISO事業部　吉田　卓史

自動車を対象とするサイバー攻撃の脅威を回避できるよう、対策を義務付けたサイバーセキュリティ法規に「UN-R155」があります。
「UN-R155」とは、なぜ必要とされるのか、どのような影響があるのか、日本での規制適用についても見ていきたいと思います。

UN-R155とは

自動車業界においてUNECE（国連欧州経済委員会）の作業部会WP29（自動車基準調和世界フォーラム）で策定され、2021年1月22日に発効された車両に関するサイバーセキュリティやサイバーセキュリティ管理システムに関する国連のサイバーセキュリティ法規の事を指します。
昨今、自動車は単なる乗り物から様々な「ICT端末」としての機能が搭載されたデバイスへと変化しました。この変化に伴い、自動車はより巧妙かつ多方面からのサイバー攻撃にさらされるようになっています。日に日に高まるサイバー攻撃の多様性と自動車業界の大きな変化から急ピッチでの法令や規制の整備が必要とされています。
UN-R155がこれまでの自動車の型式認証に関わる法規と異なる点としては、審査の前段として自動車メーカー等車両製造企業が適切なプロセスを持つことを示す「CSMS適合証明」を必要としている点です。製造された自動車がサイバーセキュリティについて十分な性能があることや、その判定基準の全てを数値化することは難しいため、代わりに適切と認められたプロセスを経て設計・開発された製品であることを示す証拠（設計文書）が求められます。このプロセスを細かく要求事項としてまとめたものがUN-R155です。

図：自動車のサイバーセキュリティを審査する２つのステップ

関連法規としてUN-R156もありますが、UN-R155がサイバーセキュリティに関する策定に対し、UN-R156はソフトウエアのアップデートに関する規約を指します。
本記事ではUN-R155に焦点を当て、日本でのそのような自動車のサイバーセキュリティ対策に関する適用変遷や課題について触れたいと思います。

UN-R155の規制に関する日本でのスケジュール

2021年１月の発効以降、日本は諸外国の中でもUN-R155にいち早く反応し、2026年までのスケジュールを組み段階的に規制を施行しています。
具体的な流れは下記です。

2022年7月：OTA（Over The Air：無線通信を経由したデータ送受信）に対応した新型車への規制開始
2024年1月：OTAに対応していない新型車への規制開始
2024年7月：OTA対応の継続生産車への規制開始
2026年5月：OTA非対応の継続生産車への規制開始

各規制の施行後は、日本をはじめ欧州などにおいて基準を満たしていない車両は販売できないため、自動車産業に携わるあらゆる企業が、スケジュールと適用対象となる車両を正確に把握しておく必要があります。
上記に関してはサイバー攻撃の範囲が多岐に渡ることから自動車メーカーのみならず、サプライヤ業界や関連メーカー企業とも規制が適用されるタイミングにおいて綿密に連携を取り、対応しなければなりません。
サプライチェーン攻撃のリスクとも言われており、インフラやデジタル業界を含め多くの関連業界にとってもこのサイバー攻撃は脅威となります。セキュリティ対策が薄い企業や業界に対するサプライヤはサイバー攻撃のターゲットとなりやすく大きな問題に発展し兼ねないため、規制適用の準備やサイバーセキュリティ対策が急ぎ必須です。
サイバーセキュリティ対策が必須になった背景の一つは、昨今の自動車が単なる「乗り物」から「ICT端末」へと変化を遂げていることです。
さまざまな機能が搭載された「デバイス」としての所謂コネクテッドカーとしての普及が進んでいる為、サイバー攻撃の脅威からの備えが自動車産業及び関連するあらゆる企業に必須となりつつあります。
下記の図は、ICT端末が搭載されたコネクテッドカーとしての具体的なサイバー攻撃経路です。

UN-R155の主な構成要素

以下が構成要素のポイントとして挙げられます。

＜サイバーセキュリティ管理システム（CSMS）＞

CSMS は既存の品質管理システムと統合され、車両のライフサイクルを通じてサイバーセキュリティ対策のトレーサビリティを実証する必要があります。開発、生産、生産後の段階を含む、車両のライフサイクル全体を通じて実施されなければならず、そのためには、サイバーセキュリティリスクを特定、評価、緩和するための体系的なアプローチが必要であり、これにはセキュリティ要件の特定、安全なデフォルトの実装、脅威の検出、インシデント対応、継続的改善のためのプロセスの確立が含まれます。

＜型式承認プロセス＞

UN-R155は、新車種に対するサイバーセキュリティ型式承認要件を導入しているため、このプロセスにおいてハードウェアとソフトウエアのコンポーネントを含め、車両のサイバーセキュリティ対策を徹底的に評価し、各自動車メーカーは車両の設計と実装においてサイバーセキュリティリスクがどのように対処されたかを示す包括的な文書を提出することが求められます。これには、脅威のモデル化、リスク評価、セキュリティ評価の証拠などが含まれます。

＜リスクの評価と軽減＞

潜在的な攻撃ベクトルの特定と、その影響と可能性を評価した適切な対策の実施が含まれます。各自動車メーカーは、TARA（Threat Analysis and Risk Assessment）などのリスク評価のための標準化された手法を使用し、最新の脅威情報を維持しなければなりません。緩和策は明白に効果的で特定されたリスクに見合う必要があります。この規制は、車両レベルでの包括的なリスク分析を義務付けているといえます。

＜サプライチェーンのセキュリティ＞

UN-R155は、サイバーセキュリティの要件をサプライチェーン全体に拡大しています。各自動車メーカーは、サプライヤのサイバーセキュリティ対策を評価・監視するプロセスを確立しなければならず、これにはセキュリティ監査の実施、サプライヤとの契約におけるセキュリティ要件の定義、機密情報を共有するための安全な通信経路の導入などが含まれます。サプライヤは、各自動車メーカーのサイバーセキュリティ要件に準拠していることを証明し、自社のサイバーセキュリティ管理システムの証拠を提出しなければなりません。

＜インシデントレスポンスとモニタリング＞

車両ネットワーク全体への侵入検知システム（IDS）の導入、継続的な監視のためのセキュリティ・オペレーション・センター（SOC）の設置、詳細なインシデント対応計画の策定が含まれた強固な脅威監視システムとインシデント対応手順の導入が義務付けられています。これに各自動車メーカーは、影響を受ける車両に対するセキュリティ・アップデートを安全にプッシュする能力を含むサイバーセキュリティ・インシデントをリアルタイムで検出、分析、対応する能力の保持が必要とされています。

＜安全なソフトウエアアップデート＞

UN-R155では、無線（OTA）アップデートを含むすべてのソフトウエアアップデートの安全なプロセスが義務付けられ、各自動車メーカーはバージョン管理やロールバック機能など、ソフトウエア更新を管理・配布するための安全なインフラを維持する必要があります。ソフトウエアパッケージの真正性と完全性を保証する暗号化対策、安全な送信プロトコル、アップデートの中断や失敗から回復できる強固なアップデートメカニズムの実装が必要とされているのです。

UN-R155サイバーセキュリティの要求事項、それに伴う課題と総括

日本がいち早く規制適用に向けて段階的にスケジュールを組み、各方面の関連業界や企業へ連携を求める一方で、特にサプライヤ側のUN-R155の対応の実現には上記図のようなサイバーセキュリティに対する要求事項と主に以下の課題が想定されます。
自動車セキュリティのカバー範囲が広範囲に及ぶ為、未だ専門家が希少、かつＩＴセキュリティ担当者が担当するのも困難である。
この課題を解決するには、今後益々の「設計・開発・検査・アフターセールスプロセスの変革」、「実行に向けたツール整備」、「教育を含む組織強化」などによる対策の底上げが必要といえます。

日々高度化する車両を狙ったサイバー攻撃や将来的に更に普及するであろう自動運転に対応するためのセキュリティ対策のためにも、自動車メーカーのブランディング向上にもUN-R155の適用は消費者意識の向上と自動車業界への更なる発展をもたらすといえるでしょう。

【プロフィール】

寺田　茉莉子（てらだ　まりこ）
2024年4月アイディルートコンサルティング株式会社中途入社
アイスフィギュアスケーター（オリンピックメダリスト）のエージェント、外資系生命保険会社、国内外資系IT企業等数社を経てサイバーセキュリティコンサルタントとして活動。
現在は国内大手通信系企業のサイバーセキュリティグループにて海外支社とのManagement OfficeやPartner Alliance業務に従事。

監修：吉田卓史（よしだたくし）

20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。