自動運転車とサイバーセキュリティ

本連載は、日経産業新聞（2023年8月）に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。

2022年7月、自動車のサイバーセキュリティに関する初の国際規制が始まりました。コンピュータ制御が進む自動車の運転中の「乗っ取り」などを防ぐためです。

2021年、国連欧州経済委員会（ECE）による自動車を対象としたサイバーセキュリティ規定「UN-R　155」が発効、日本や欧州では、2022年7月以降に発売する車両から段階的にサイバーセキュリティの実装が業務付けられました。将来の自動運転車やコネクテッドカーの普及を見据えると、完成車メーカーやサプライヤーにとって、サイバーセキュリティ対応は待ったなしです。

UN-R155では、自動車は「プロセス」と「車両」の2つの観点で認証を受けなければなりません。具体的には、車両ごとにサイバーセキュリティを担保する仕組みを「サイバーセキュリティマネジメントシステム」（以下、CSMS）として構築するというものです。
国内での認証は、独立行政法人 自動車技術総合機構傘下の交通安全環境研究所による審査と3年ごとの監査があり、認証されたプロセスに沿った車両の開発・生産に加え、市場投入後もサイバーセキュリティ対策を確保することが必要となります。

2021年には、国際標準化機構（ISO）と米自動車技術者協会（SAE）がサイバー攻撃から自動車を保護するための規格「ISO/SAE 21434」をまとめました。セキュリティ機構と車両のライフサイクル全体でのCSMSの確保に重点を置いた規格で、これにより業界全体で用語が共通化され、完成車メーカーやサプライヤーはインターフェースやプロセスを共通化し責任を共有できるようになりました。

完成車メーカーやサプライヤーがCSMSを構築するには、（1）プロジェクトマネジメント（2）計画（3）導入（4）運用の4段階での取組みが求められます。導入計画の作成からリスク管理プロセスの構築、人材育成、サプライヤーとの連携など、ISO/SAE 21434で定義された文書やルールなどの「成果物」に基づき現状を評価したうえで、不足する「成果物」を洗い出し、CSMS構築のロードマップを作成する必要があります。

今後、日本と欧州ではサイバーセキュリティに対応していない自動車は販売できなくなり、将来は他の地域にも同様の動きが広がると見込まれます。セキュリティ対応にかかるコストも大きいため、自動車メーカーだけでなくサプライヤーも含めたサプライチェーン全体で、効率的なCSMSを構築することが肝要です。コストを抑制しながら、自動車の安全とセキュリティを確保した経営を実現できるかが、次代の競争を勝ち抜く条件となります。

日経産業新聞　2023年8月16日掲載（一部加筆・修正しています）。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。

KPMGコンサルティング　
ディレクター　保坂 範和