シノプシス(Synopsys)は2019年2月20日、東京都内で会見を開き、自動車業界のセキュリティの取り組み状況に関する調査結果を発表した。調査はSAE(米国自動車技術会)と共同で、グローバルの自動車メーカーやサプライヤーなどを対象に実施した。
シノプシス(Synopsys)は2019年2月20日、東京都内で会見を開き、自動車業界のセキュリティの取り組み状況に関する調査結果を発表した。調査はSAE(米国自動車技術会)と共同で、グローバルの自動車メーカーやサプライヤーなどを対象に実施した。回答者はセキュリティに関わる技術者593人だ。調査報告書はシノプシスのWebサイトから無償で入手できる。
調査では、回答者の84%が、自社のサイバーセキュリティ対策が自動車技術の進展に追い付いていないことを懸念していると判明した。また、回答者の所属企業のうち、30%はサイバーセキュリティ対策の部門を持っておらず、過半数の企業で脆弱性テストの実施対象が開発中の技術の半分以下になっていることが分かった。
調査は、ITセキュリティの調査会社であるPonemon Instituteに委託して行った。組織、技術、製品開発、サプライチェーンの4つのテーマで調査結果をまとめた。まず、自動車がターゲットとなるサイバー攻撃の影響について尋ねると、回答者の52%がドライバーに危険が及ぶ可能性があると認識していた。この比率について、会見に出席した日本シノプシスの岡デニス健五氏は「かなり高い」と評価した。
また、今後12カ月以内に自社の車載ソフトウェアや技術、コンポーネントが、研究者による実験も含めたサイバー攻撃を受ける可能性について尋ねると、「非常に高い」もしくは「高い」と答えた回答者は62%に上った。サイバーセキュリティでリスクの大きい分野としては、自動運転車、テレマティクス、Wi-FiやBluetoothなど無線技術が挙げられた。
回答者の半数がサイバー攻撃の影響を認識しているにもかかわらず、懸念を上層部に報告する権限を与えられていると感じるかどうかという質問に関して「その権限がある」と答えたのは31%だった。回答者の69%は、セキュリティの問題を見つけても報告できていないことを意味する。詳細は後述するが、サイバーセキュリティに関する正式なチームが社内にないという企業も少なくなかった。組織としては、セキュリティに関わるエンジニアの声をすくい上げられていないということになる。
サイバーセキュリティに対するアプローチとして、伝統的なITサイバーセキュリティチームが全社的なCISO(最高情報セキュリティ責任者)の指揮の下で担当している企業は20%、機能安全チームがサイバーセキュリティを担当しているという企業が17%という結果だった。また、製品サイバーセキュリティチームが中心となって複数の製品開発チームを指導、サポートするという企業は10%、個々の製品開発チームがサイバーセキュリティ専門家を含んだ製品サイバーセキュリティを設置しているという企業が23%だった。
なお、製品のサイバーセキュリティに関する正式なプログラムやチームを設立していないという企業も少なくなかった。回答者の所属企業の30%を占める。業種ごとに見ると、自動車メーカーの18%、サプライヤーの41%が正式なセキュリティ対策プログラムやチームがないと回答した。
取引先への対応についても尋ねた。その結果、ソフトウェアを納入するサプライヤーに対してセキュリティの要求事項を課していない企業は56%に上った。これは、納入されたソフトウェアのセキュリティレベルを把握できていないということであり、サイバー攻撃のリスクが高いことを示す。サプライヤーがセキュリティの要求事項に従うことを徹底する正式なプロセスが存在しないという企業も40%を占めた。
Copyright © ITmedia, Inc. All Rights Reserved.