「サイバーセキュリティは型式認証の前提条件となりつつある」

ミンツラフ博士、自動車セキュリティ分野における拘束力のある基準や規制の策定に向けた取り組みが現在本格化しています。ここでは特にどのような開発分野が注目されていますか?

現在、誰もが注目している二つの取り組みがある。第一に、プロセスレベルで基準を定めるISO/SAE 21434。第二に、車両の型式認証にサイバーセキュリティを前提条件とするUNECE WP.29の活動である。UNECE規制もISO規格も、今後3年以内に施行される。つまり、準備のための時間はあまり残されていません。

これは近い将来、車両のITセキュリティが型式認証において真に重要になることを意味します！

その通りです。将来、UNECEの規定によれば、OEMメーカーは適切なリスク対策を実施できることを証明できなければ、EUや日本などの市場で車両タイプの承認を得られなくなります。ISO/SAE 21434は、自動車業界向けの共通セキュリティ規格を提供することで、この障壁を克服する鍵となるでしょう。同時に、地域レベルではさらなる規制や法律が絶えず策定されており、これらも考慮に入れる必要があります。

自動車メーカーやサプライヤが直面している特有の課題には、どのようなものがありますか?

将来の大きな課題は、セキュリティをサプライチェーン全体とライフサイクルを通じて包括的に取り組む必要がある点だ。2、3つの中央ECUにセキュリティ機能を提供するだけでは不十分である。自動車メーカーは、プラットフォーム全体の重要な要素を特定し、生産終了まで確実に保護しなければならない。これは車両ライフサイクル管理が将来の決定的なトピックとなることを意味する：生産開始後、道路上で絶えず変化する脅威環境に長年さらされるコネクテッドカー（または”ネットワーク”に常時接続された車両）に対し、リスクベースの適切な保護をどう提供するか？

OEMまたはサプライヤーとして、車両保護を企業活動と組織の恒久的な取り組みとするために、今何をすべきでしょうか？

二つの側面から対応する必要があります。まず、製品のセキュリティ要件を特定することです。接続性の程度、機能性、安全上の重要性、自動運転レベルが異なる車両やコンポーネントには、それぞれに適した保護策が求められます。こうして識別されたセキュリティレベルを達成するには、開発・生産から品質保証、販売、顧客対応に至るまで、全関係者の関与が必要です。企業内およびサプライチェーン全体において、責任範囲と役割を明確に定義しなければなりません。

同時に、「棚卸し」、つまり標準的な監査や評価を実施できます。自社のどの領域が基準を満たし、将来的な規制要件のどの側面に既に対応できているか？そして、どのような既存のプロセスをベースにすれば、将来のプロセスを構築できるか？このようなギャップ分析は、セキュリティのさらなる発展に向けた投資が最も効果を発揮する領域を明らかにするでしょう。

ETASのようなセキュリティ専門家をチームに加えることは理にかなっているでしょうか？

はい、なぜなら当社の非依存な視点とグローバルかつ業界横断的なノウハウは、御社の社内専門知識を理想的に補完するからです。コネクテッド車両の継続的な保護を実現する唯一の方法は、協力し合い、包括的なアプローチを取ることです。だからこそETASでは、従来型の企業ITセキュリティと組み込みセキュリティを既に統合しています。将来のサイバーセキュリティを制する唯一の道は、車両からアプリケーション、クラウドに至るまで、領域を超えたアプローチにあるからです。

主要市場における製造業者やサプライヤーとの多様なプロジェクト経験に基づき、当社はベンチマーキングも提供可能です。現行のセキュリティ対策において、さらなる発展が必要な側面を正確に特定し、サイバーセキュリティに必要な投資の識別子を支援します。UNECE規格に基づく型式認証を遅延やコスト超過を伴わず達成できないリスクは極めて高く、時間的余裕もありません。ETASは深いエンジニアリング経験に基づき、自動車セキュリティを量産段階へ導くノウハウを有しています。これにより、今後の課題克服の可能性が大幅に高まります。