自動車業界にセキュリティ意識調査、不十分な対応やリソース不足が目立つ：車載セキュリティ（2/2 ページ）

シノプシス（Synopsys）は2019年2月20日、東京都内で会見を開き、自動車業界のセキュリティの取り組み状況に関する調査結果を発表した。調査はSAE（米国自動車技術会）と共同で、グローバルの自動車メーカーやサプライヤーなどを対象に実施した。

[齊藤由希，MONOist]

セキュリティ人材の不足も明らかに

　サイバーセキュリティに関するリソースが不足しているという回答も目立った。十分な予算や人的リソースが割り当てられていないという回答が51％、必要なサイバーセキュリティの技術がないという回答は62％に上った。製品サイバーセキュリティ管理プログラムに従事できる人員数は平均9人という結果だった。

　自社で開発する技術に脆弱性が混入する要因として多く上がったのは、意図しないコーディングエラーや、セキュアコーディングに関する理解やトレーニングの不足、納期までの余裕のなさが挙げられた。脆弱性の評価が製品開発プロセスの終盤まで行われていない現状も明らかになった。岡氏は「本番リリース後にセキュリティコントロールを適用するよりも、設計時から統合する方が高いセキュリティを実現できる。リスクや脆弱性を開発の早い段階で特定することで、限られたサイバーセキュリティのリソースを有効活用できるのではないか」と指摘した。

　セキュリティパッチやアップデートに関して、重大な脆弱性に迅速に対応できていると答えた回答者は39％にとどまり、鍵の管理が手動プロセスだとする企業は43％を占めた。セキュリティ対応としては、外部調達したソフトウェアやシステムを利用するという回答が最も多く、無線ネットワークによるアップデート（OTA：Over-The-Air）は37％にとどまった。OTAを利用する企業は、今後さらに増えると岡氏は述べた。