第3章
加速する国際基準策定の動き　IT産業への期待も高まる

WP29が国際基準を提示
日本が議論をリード

　自動車産業の特性を踏まえて新たにサイバーセキュリティの国際基準を策定しようという動きも加速している。代表的なものの一つが、現在策定が進められている自動車のサイバーセキュリティに関する国際標準規格「ISO／SAE 21434 Cyber Security Engineering」だ。車両および車両システム、各種部品、ソフトウェア、ネットワークなどを対象に、サイバーセキュリティの管理や実施を規定するもので、20年2月には国際規格案が発行されている。高田教授によると、「これまでの活動は遅れぎみだったが、順調にいけば、今年後半から来年前半にかけて国際標準として正式に発行されることになる」と見る。

　もう一つの動きが、国連欧州経済委員会（UN／ECE)の元で活動する「自動車基準調和世界フォーラム（WP29）」による、サイバーセキュリティ対策とソフトウェアのアップデートに関する新たな法規基準の検討だ。この法規基準に準じて協定締約国同士が車両の相互承認を行うことになる。

　WP29は、安全一般、衝突安全、騒音とタイヤ、排ガスとエネルギーなどの部会とともに、自動運転に関する部会として「GRVA」を設置。同部会内に設置されたサイバーセキュリティに関する分科会では日本が共同議長を務めるなど議論をリード。6月24日深夜（日本時間）には、サイバーセキュリティとソフトウェアアップデートに関する国際基準が成立し、「WP29 GRVA CS／SU規則」として示された（主な要件は下図を参照）。21年には、この規則をベースに法規が発行され、各締約国が協定規則に基づいて型式認証を開始する。義務化の時期については各国に判断が任されており、日本は22年7月以降の新型車から適用する。
 
　WP29 GRVA CS／SU規則は、「車両」に関する要件だけでなく、自動車メーカーの「組織」に対する要件が示されている点が特徴だ。組織に対する要件では、開発時から製造時、製造後（使用時）にわたって十分なサイバーセキュリティ対策を講じることや、常に適切なソフトウェアアップデートができる状態にしておくための管理システムを整備していることが求められるようになる。

　具体的には、サイバーセキュリティであれば、自動車メーカーは「サイバーセキュリティ管理システム（CSMS）」の認証を受けることでそれを証明する。規則では、そのために組織として整備しておくべきさまざまな仕組みやプロセスを規定しており、これに適合していると認証当局から認められると、「サイバーセキュリティ管理システム（CSMS）適合証」が発行され、3年ごとに更新を行うことになる。組織の要件に適合すると、その組織が開発した車両の型式認可に進むことになる。

　ソフトウェアアップデートに関する規則も同様に、組織の要件に適合する場合は認証当局から「ソフトウェアアップデート管理システム（SUMS）適合証」が発行され（こちらも3年ごとの更新制）、その後に車両の型式認可に進む。

　これらのサイバーセキュリティ／ソフトウェアアップデートの規定で注目すべきは、定量的な試験法や基準値はなく、プロセスが評価されることになるという点だ。そして、自動車メーカーのみならず、サプライヤーやサービスプロバイダー、アフターマーケットまでを含めた網羅的な管理体制が求められる内容になっていることや、開発時や製造時、製造後（使用時）まで含めてサイバーセキュリティの脅威に対する自動車メーカーの責任が規定されていることも見逃せない。

新たな体制整備には
IT産業の貢献が必須

　ただし、ここで問題になるのが業界内の人的リソースだ。PwCコンサルティングの奥山謙・デジタルトラストシニアマネージャーは「自動車産業のこれまでのリソースだけでは不十分。平時も常に監視をする必要があり、多くの自動車メーカーでサイバーセキュリティ専門組織が必要になる。また、自動車の出荷後にセキュリティ上の欠陥が見つかった場合には、自動車メーカーとサプライヤーの連携した対応が求められる。自動車メーカーだけでなく、サービスプロバイダーが攻撃された場合もクルマに影響を及ぼさないための対策が必要だ」と指摘する。

　また、同社の納富央・自動車・サイバーセキュリティマネージャーも「WP29 GRVA CS／SU規則が成立したことで、開発チームにもセキュリティスキルを持った人材を早期に実装していく必要がある。海外拠点でも同時並行的にセキュリティ担当者を配置しなくてはならないし、同様に、サプライヤーにおいても開発部門を巻き込んで体制を構築することになるだろう」として、自動車産業におけるセキュリティ人材の育成が急務であることを示唆する。

　自動運転車の実用化に伴い、進化しつづけるサイバー攻撃への対策や継続的なソフトウェアアップデートは、自動車産業の発展の要となる。自動車のライフサイクル全般にわたり、サイバーセキュリティ対策が取れる新たな体制を産業全体で構築する必要があり、そのためには、世界規模で企業や産業の枠を超えた連携がより重要になる。IT産業が貢献できる余地は決して少なくない。

topic
世界に先行する日本の法制度整備

　CASEの潮流を踏まえたクルマのサイバーセキュリティへの取り組みという観点では、WP29での議論をリードしたことからも分かるように、日本はトップランナーだ。世界に先行して制度化、法整備が進んでいる。

　2019年5月24日に交付された「道路運送車両法の一部改正」では、「保安基準対象装置への自動運行装置（自動運転システム）の追加」「自動運行装置等に組み込まれたプログラムの改変による改造等に係る許可制度の創設等」が盛り込まれ、運転者が担ってきた認知、予測、判断、操作といった能力を一定の条件下でシステムが代替する自動運行装置について、国が安全基準を定めることができるようにした。さらに、自動運行装置を含めた保安基準対象装置の使用過程で、ソフトウェアのアップデートを電気通信回線を使って行う際の許可制度を新たに創設。20年秋以降、国土交通大臣の許可を得なければ、電気通信回線を通じたソフトウェアのアップデートができなくなる。当然、この許可はサイバーセキュリティの確保が前提となる。

　また、改正道路運送車両法の保安基準は20年4月に施行されたことを受け、国土交通省はこれに先立ち、自動運行装置の保安基準として性能要件や安全要件を定める省令改正を行った。ここでも「不正アクセス防止などのためにサイバーセキュリティ確保の方策を講じること」などが求められるようになった。

　こうした動きによって、日本では十分なサイバーセキュリティ対策を行わないと実質的に自動運行装置を使えない状況になっている。