2022年7月から義務化のWP29セキュリティ法規、「すでに完了」は20.8％にとどまる：車載セキュリティ（2/2 ページ）

[齊藤由希，MONOist]

　自社の取引先に対するCSMS対応要求については、要求を提示しているものの、具体的な仕様や成果物の定義を任せている企業や、まだ要求の提示を検討している段階の企業が一定以上の割合を占めた。

自社の取引先にCSMS対応を要求しているかどうか（クリックして拡大） 出典：PwC

　サプライヤーのCSMSへの着手状況は、売上高が1000億円以上の企業や、電装部品を扱う企業ほど進んでおり、2022年7月までに対応を完了するとの回答が過半数を占めた。サプライヤーの中でも、電装部品以外の機械部品に関わる企業や、売上高が1000億円未満の企業では、2022年7月までに対応を完了するという回答者が3割強にとどまった。

人材確保や情報収集に課題

　WP29への対応は製品のライフサイクル全般で対応が求められるため、全社的な体制づくりが欠かせない。回答者のうち、48.5％がCSMS対応を統括、推進する部門があると回答。自動車メーカーでは法務部門またはコンプライアンス部門が、サプライヤーでは情報システム部門が対応を統括、推進する部門として挙がった。対応を統括、推進する部門がない企業では、CSMS対応の完了時期が遅くなることも分かった。

　サイバーセキュリティ関連の人材確保について尋ねると、回答者全体の25.8％が新規採用、40.4％が外部委託と回答した。自動車メーカーとサプライヤーを比較すると、自動車メーカーの方が社内で対応を進める傾向にあった。スキル面に課題を感じる分野を尋ねると、開発、生産、運用まで多岐にわたった。外部委託やトレーサビリティーのためのツール導入、セキュリティのための製品の追加機能の開発、そのテストなどさまざまなコストが発生する。CSMS対応にかかる費用が不透明な中、製品のコストにどのように転嫁するか検討する必要があると指摘した。

CSMS対応に必要な人材の確保について（クリックして拡大） 出典：PwC

　CSMS対応後も、製品がサイバー攻撃を受けていないかどうか監視するビークルセキュリティオペレーションセンターや、インシデントに対応するPSIRT（Product Security Incident Response Team）の構築など、部門を横断した組織体制が求められる。

　サイバーセキュリティ関連の情報収集については、WP29以外にもISO 21434、Automotive SPICE、TISAX（Trusted Information Security Assessment Exchange）が参照されていることが分かった。売上高が1000億円以上の企業では、セキュリティベンダーや業界団体、公開情報など複数の情報源を持つという回答が66.1％に上ったが、売上高が1000億円未満の企業は75％が単一の情報源から情報を得ていると回答。また、業界団体からの情報収集については大企業ほど利用しており、「売上高1000憶円未満の企業は業界団体から距離がある様子だ」（PwC）という。

→その他の「車載セキュリティ」関連記事