2022年7月から義務化のWP29セキュリティ法規、「すでに完了」は20.8%にとどまる:車載セキュリティ(2/2 ページ)
PwCコンサルティングは2021年8月12日、国連の自動車基準調和世界フォーラム(WP29)が定めた自動車のサイバーセキュリティとソフトウェアアップデートに関する国際基準(UN規則)への対応状況をまとめた調査レポートを発表した。関連業務に従事する101人から回答を得た。
自社の取引先に対するCSMS対応要求については、要求を提示しているものの、具体的な仕様や成果物の定義を任せている企業や、まだ要求の提示を検討している段階の企業が一定以上の割合を占めた。
サプライヤーのCSMSへの着手状況は、売上高が1000億円以上の企業や、電装部品を扱う企業ほど進んでおり、2022年7月までに対応を完了するとの回答が過半数を占めた。サプライヤーの中でも、電装部品以外の機械部品に関わる企業や、売上高が1000億円未満の企業では、2022年7月までに対応を完了するという回答者が3割強にとどまった。
人材確保や情報収集に課題
WP29への対応は製品のライフサイクル全般で対応が求められるため、全社的な体制づくりが欠かせない。回答者のうち、48.5%がCSMS対応を統括、推進する部門があると回答。自動車メーカーでは法務部門またはコンプライアンス部門が、サプライヤーでは情報システム部門が対応を統括、推進する部門として挙がった。対応を統括、推進する部門がない企業では、CSMS対応の完了時期が遅くなることも分かった。
サイバーセキュリティ関連の人材確保について尋ねると、回答者全体の25.8%が新規採用、40.4%が外部委託と回答した。自動車メーカーとサプライヤーを比較すると、自動車メーカーの方が社内で対応を進める傾向にあった。スキル面に課題を感じる分野を尋ねると、開発、生産、運用まで多岐にわたった。外部委託やトレーサビリティーのためのツール導入、セキュリティのための製品の追加機能の開発、そのテストなどさまざまなコストが発生する。CSMS対応にかかる費用が不透明な中、製品のコストにどのように転嫁するか検討する必要があると指摘した。
CSMS対応後も、製品がサイバー攻撃を受けていないかどうか監視するビークルセキュリティオペレーションセンターや、インシデントに対応するPSIRT(Product Security Incident Response Team)の構築など、部門を横断した組織体制が求められる。
サイバーセキュリティ関連の情報収集については、WP29以外にもISO 21434、Automotive SPICE、TISAX(Trusted Information Security Assessment Exchange)が参照されていることが分かった。売上高が1000億円以上の企業では、セキュリティベンダーや業界団体、公開情報など複数の情報源を持つという回答が66.1%に上ったが、売上高が1000億円未満の企業は75%が単一の情報源から情報を得ていると回答。また、業界団体からの情報収集については大企業ほど利用しており、「売上高1000憶円未満の企業は業界団体から距離がある様子だ」(PwC)という。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 避けて通れぬ自動車のセキュリティ、ソフトウェア開発は何をすべきか
サイバーセキュリティにさらに力を入れるには、ソフトウェア開発のライフサイクル中のサイバーセキュリティ活動も含めて、自動車業界における文化的および組織的なシフトの必要性がある。自動車業界の課題や解決策について解説していく。 - 自動車メーカーとサプライヤーはどう連携してセキュリティに取り組むべきか
本連載では、2019年9月の改訂案をベースにOEMに課されるWP.29 CS Regulationsのポイントを解説し、OEMならびにサプライヤーが取り組むべき対応について概説する。目次は下記の通り。 - 自動車メーカーに選ばれるのは、セキュリティを理解したサプライヤーだ
本連載では、2019年9月の改訂案をベースにOEMに課されるWP.29 CS Regulationsのポイントを解説し、OEMならびにサプライヤーが取り組むべき対応について概説する。今回は自動車のサイバーセキュリティに必要な組織づくりや、開発フェーズでのプロセス構築について説明していく。 - 出荷後の車両や部品の脆弱性に、あなたの会社はどう行動すべきか
本連載では、2019年9月の改訂案をベースにOEMに課されるWP.29 CS Regulationsのポイントを解説し、OEMならびにサプライヤーが取り組むべき対応について概説する。前回は自動車のサイバーセキュリティに必要な組織づくりや、開発フェーズでのプロセス構築について紹介した。今回は生産フェーズ以降のサイバーセキュリティマネジメントシステム(Cyber Security Management System、CSMS)のプロセス構築について説明していく。 - 自動車セキュリティに「ここまでやればOK」はない、“相場観”の醸成が必要だ
MONOist編集部は2020年11月10日、オンラインで「自動運転時代の車載セキュリティセミナー」を開催した。自動運転やコネクテッドの技術が導入されていく中で、車載製品のセキュリティに対する考え方や開発の助けとなる技術について紹介した。 - 自動車セキュリティとソフト更新の国際基準が成立、2022年へ対応急務
国連の自動車基準調和世界フォーラム(WP29)が2020年6月24日に開催され、自動車のサイバーセキュリティとソフトウェアアップデートに関する国際基準(UN規則)が成立した。車両の型式認可を受ける際に、国際基準を満たす体制であることを示す必要がある。サプライチェーンや製造後の自動車の使用期間の全体像を見た対応が求められており、自動車メーカーだけでなく、サプライヤーの参加や自動車のユーザーの理解も不可欠だ。