2024/10/09ガバナンス
UN-R156の適用における課題
執筆:CISO事業部 豊田 英稔
監修:CISO事業部 吉田 卓史
本記事は、2024年7月から無線によるアップデートに対応しているすべての車両に適用されるUN-R156ついて焦点を当てました。日本では2022年から新車に適用され、2024年7月から無線によるアップデートに対応しているすべての車両に適用されています。UN-R156の適用には多くの課題が存在しますが、自動車メーカーと消費者の双方にとって良い効果をもたらすでしょう。自動車メーカーは規則を遵守することでブランドイメージを向上させることができ、消費者はより安全で信頼性の高い車両を手に入れることができます。UN-R156の適用は自動車業界全体の成長と発展を支えると考えます。
UN-R156とは、国連欧州経済委員会(UNECE)によって制定された規則で、ソフトウェアアップデートおよびソフトウェアアップデート管理システム(SUMS)(図1参照)に関する規定です。この規則は、車両のソフトウェアアップデートにおける安全性の確保を目的としています。
UN-R156は2022年から新車両タイプに対する適用が始まり、2024年7月から無線によるアップデートに対応しているすべての車両に適用されています[1]。この規則は、車両のソフトウェアアップデートとソフトウェアアップデート管理システム(SUMS)に関する基準を提供し、サイバーセキュリティの強化を目的としています。そのため、車両のデジタル化が進む中で全体的な安全性が向上し信頼性が高まります。
サイバーセキュリティ管理システム(CSMS)の導入により、サイバーリスクの評価、インシデント対応、フォレンジックサポートなど、車両の設計段階からセキュリティリスクを考慮します。それにより、自動車メーカーは全車両の安全性を確保し、サイバー攻撃から保護します。
ソフトウェアアップデート管理システム(SUMS)の導入により、自動車メーカーはソフトウェアのバージョン管理、OTA(Over-the-Air)アップデートの安全性確保、回帰テストを実施しています。それにより、車両の機能や安全性がアップデート後も維持され、ユーザーにとって安心して使用できる環境が提供されます。SUMSは、ソフトウェアアップデートのプロセス全体を管理し、アップデートが適切に行われることを保証します。
図1. 国土交通省資料「4-3.サイバーセキュリティ及びプログラム等改変システムに係る基準(UN-R155 及び UN-R156)」を基に作成
近年、車両のデジタル化が急速に進んでおり、車載システムのソフトウェアが複雑化しています。ソフトウェアの安全性を担保するためにUN規則が全世界で順次導入され、中でもUN-R156は日本の自動車業界において大きな影響を与えました。 (図2参照)
図2. UN-R156導入におけるメリットと課題
前述のように、新しい規則に適応するためのコストや技術的なハードルも高く、メーカー各社は独自のシステムを持っているため、UN規則に準拠するための再開発が必要となりました。他にもリアルタイムでの監視システムや、データの収集と分析を行う高度な技術が必要です。無線通信を介したソフトウェアの更新(OTA: Over-The-Air)が一般的ですが、セキュリティを担保するために強力な暗号化と認証を行うため処理に負担がかかってしまいます。そのため、ハードスペックやアルゴリズムの見直しも必要となっています。
また、更新プロセス中に発生する可能性のあるエラーや不具合に迅速に対応するためのバックアップシステムやリカバリー機能も必要です。
N-R156の適用は日本の自動車業界にとって良い効果をもたらすと考えられます。
車両を狙ったサイバー攻撃は日々高度化しており、特にコネクテッドカーがその影響を受けています。コネクテッドカーはインターネットに接続し、多くの便利な機能を利用できます。その一方で、APIやウェブポータルなどの脆弱性を利用した攻撃によって、リモートコード実行や車両の制御が可能になる場合があります。デジタル機能の導入が急速に進む中で、徹底したセキュリティ対策を施す必要が求められています。
インターネット接続が少ない車両タイプであっても、車両のCANバスシステムや診断に利用するOBDポート、Bluetoothの脆弱性を利用することで車両の制御が可能になる場合があります。CANバスシステムは車両内の各コンポーネント間でデータを交換するためのネットワークシステムですが、攻撃によって車両の制御システムに重大な影響を与える可能性があります。OBDポートは車両診断用として利用されていますが、このポートを介した不正アクセスによって車両システムが改ざんされる可能性があります。さらに、Bluetooth接続を利用したマルウェア感染や不正アクセスの被害を受ける可能性もあります。
また、将来的に自動運転の普及によって車両がソフトウェアに強く依存することになるため、ソフトウェアのセキュリティがより一層重要となるでしょう。自動運転車は複数のセンサーとAIアルゴリズムを活用して周囲の環境を認識判断しますが、これらのシステムが攻撃を受けるとセンサーデータの改ざんやAIアルゴリズムの誤認識によって、事故を引き起こすリスクがあります。
この様に様々なセキュリティリスクに対応するため、UN-R156適用の義務化は自動車メーカーに車両の安全性を再確認させ、全体的なセキュリティの向上につながります。具体的には、車両のソフトウェアアップデートやサイバーセキュリティ管理システムの導入が必須となり、最新のセキュリティ技術を採用することによって、脆弱性を迅速に修正する能力が高まります。
また、自動車メーカーがUN-R156の基準に従うことによって、購入する車両にセキュリティ対策が施されていることを確認できるようになるため、消費者のセキュリティ意識が向上する効果が見込めます。例として、定期的なソフトウェアアップデートの重要性を理解し、自らアップデートを実行する習慣がつくことが期待されるでしょう。
UN-R156の適用は、自動車メーカーと消費者の双方にとって良い効果をもたらします。自動車メーカーは規則を遵守することでブランドイメージを向上させることができ、消費者はより安全で信頼性の高い車両を手に入れることができます。UN-R156の適用は自動車業界全体の成長と発展を支えることになるでしょう。
豊田 英稔(とよだ ひでとし)
2023年にデジタルアーツコンサルティング株式会社(DAC)に新卒で入社。
セキュリティエンジニアとしてCISOサービス事業部に所属。SASE製品導入支援サービスに参画。
監修:吉田 卓史(よしだ たくし)
20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。