ISO/SAE 21434（自動車サイバーセキュリティ）

最終更新日：2024.09.27車載・コネクテッド

CASE時代～自動車に求められるサイバーセキュリティはより重要に～

自動車業界は今、CASE時代という大きな変革期を迎えています。
近年の自動車は、ネットワークへの接続を利用した自動運転技術や車載通信など、多くの電子制御システム（ECU）を搭載しています。
このネットワーク化によって利便性が上がる一方で、サイバー攻撃のリスクが増加しており、自動車メーカーやサプライヤーはセキュリティ対策の必要性に直面しています。

自動車サイバーセキュリティ（ISO/SAE 21434）は、これらのリスクに対応するために策定された国際標準です。
自動車業界におけるコネクテッドカーや自動運転技術の進化に伴い、自動車サイバーセキュリティは今後ますます重要な要素となっていきます。

誰が何をする必要があるのか

自動車サイバーセキュリティは、自動車のライフサイクル全体（開発から廃棄まで）におけるサイバー脅威からの保護を目的としています。
自動車メーカー（OEM）や主要サプライヤー（Tier1）をはじめとする関連企業が、それぞれ責任分担と協力を通じて、サイバーセキュリティ対策を確立する役割を果たします。

自動車メーカー（OEM）によるライフサイクル全体のセキュリティ管理

自動車メーカーは、自動車全体のサイバーセキュリティに対して最終的な責任を持ち、開発から運用、廃棄までのライフサイクル全体にわたってセキュリティを管理します。

会社全体としてサイバーセキュリティを重視する体制を整え、自動車のライフサイクル全体を通じて、サイバーセキュリティにおけるリスクを評価する必要があります。
また、サプライヤーに対してサイバーセキュリティにおける要求事項を伝え、それらが適切に実施されていることを監査する必要があります。

サプライヤー（Tier1）による製品のセキュリティ対策

Tier1サプライヤーはOEMから提供されるサイバーセキュリティの要求事項に基づき、自社の製品や部品に適切なセキュリティ対策を組み込みます。
具体的には、ECUやソフトウェアなどにセキュリティ対策の機能を実装します。
さらに、開発プロセスでサイバーセキュリティテストを実施し、脆弱性の検出と修正を行います。

またTier1サプライヤーは、さらに下位のサプライヤー（Tier2やTier3）に対してもサイバーセキュリティ要求事項を伝達し、サプライチェーン全体でのセキュリティ管理を行う必要があります。

第三者機関による監査

サイバーセキュリティ（ISO/SAE 21434）の実装において、OEMやサプライヤーが設定したサイバーセキュリティ対策が正しく実施されているかどうかを確認するために、第三者機関による監査が定期的に行われます。
この監査では、プロセス、設計、開発、テスト、サプライチェーン管理の各段階での適合性を検証します。
監査が成功した場合、第三者機関から証明書が発行され、OEMやサプライヤーが規格に準拠していることを示す証拠となります。

ISO/SAE 21434のポイント

ISO/SAE 21434の大きな特徴は、自動車のライフサイクル全体にわたってサイバーセキュリティのリスク管理を行う点です。
自動車が開発される段階から市場に投入されて運用される期間、さらには廃棄される段階まで、すべてのフェーズでサイバーセキュリティを確保することが求められます。
規格には、リスク評価やサプライチェーン管理、インシデント対応、継続的な監視など、多岐にわたる要素が含まれています。

自動車メーカーやサプライヤーは、この規格を適用することで車両の安全性を確保し、外部からの攻撃や不正アクセスなどの脅威から適切に保護することが求められます。

サイバーセキュリティ対策に欠かせない車載ECUへの攻撃対策

車載ECUは、自動車の様々な機能を制御する重要な装置です。
例えば、エンジン制御やブレーキシステム、ナビゲーションや自動運転機能などがECUにより制御され、重要な役割を果たしています。
自動車の進化に伴い、車載ECUの数も増加しています。
その一方で、車載ECUがサイバー攻撃の対象となるリスクについて考える必要があります。

攻撃の対象として、ソフトウェアを狙ったものとハードウェアを狙ったものがあります。
ソフトウェアの攻撃に対する基本的な対策としては、静的解析ツールによるコーディング規約への対応があります。
しかし、一般の静的解析ツールではハードウェアへの攻撃を想定した対策に対応できません。
そのため、ハードウェアへの攻撃対策が可能な検査器も併用してテストすることが有効です。