サイバーセキュリティ対応の課題解決、ベースライン、そして全体を俯瞰し、本質を知ることが大事
昨今、自動車業界において重要度が高くなっているサイバーセキュリティ対応ですが、いまひとつ何をすればいいか、何から始めればいいか、試行錯誤している企業または担当者は多いのではないでしょうか。
ハッキングによる事故などが目立たないなか、労力、時間、費用がかかる取り組みの必要性はあるのかといった意見もあります。しかし、あらゆるものがネットで繋がる時代、利用者(お客様)の安全を軽視するような製品を世に出すことはあってはならないことです。
このたび、サイバーセキュリティ実務に携わっていらっしゃるヤマハ発動機株式会社の川瀬様へインタビューを行い、テュフ ラインランドが提供する「サイバーセキュリティ(CySec)スペシャリスト資格認定トレーニングコース(5月開催)」を受講し、トレーニングで何を得られたかなどをお伺いしました。
今年5月に本コース「ISO/SAE 21434 サイバーセキュリティ(CySec)スペシャリスト資格認定トレーニングコース」第一回目が開催されました。4日間のオンライン講義の後、最終日に試験が実施され、試験に合格された川瀬様は、テュフ ラインランドが認定するグローバル資格である「CySec Specialist (TÜV Rheinland) Certificate in Automotive」を取得されました。
ーーー 川瀬様の業務についてお聞かせください。
二輪のイメージが強いヤマハですが、利益ベースではマリン事業も大きな柱となっています。マリン事業の中で中核となるのが船外機事業になります。私は、マリン事業本部の電動システム開発部に所属しており、北米向けの大型船外機、そしてそれを搭載する大型プレジャーボート向けの操船システムの製品サイバーセキュリティを担当しています。開発のためのマネジメントシステム、プロセス構築をメインにして、PSIRTや全社製品セキュリティワーキンググループの業務も務めています。製品システムの内容としてはCAN通信を中核としたDBW*1やSBW*2、そして大型の高機能マルチファンクションモニタ、そしてオートパイロットなどでほぼ車載システムと同様の技術となっています。弊社でもCASEを進めており、弊社初のセルラー通信を利用したDCM*3システムの開発チーフも務めました。
*1 DBW:ドライブ・バイ・ワイヤ(Drive By Wire)
*2 SBW:ステア・バイ・ワイヤ(Steering By Wire)
*3 DCM:データ・コミュニケーション・モジュール(Data Communication Module)車専用通信機
ーーー すでにサイバーセキュリティに関しては勉強されているようですが、弊社のトレーニングを受講しようと思った理由は何ですか。
製品セキュリティ開発のためのマネジメントシステム構築に取り組んでいますが、実効的なプロセスがまだ構築されていないので、その参考にするために参加しました。
マリン業界では、重大インシデントにつながる事案が発生している海運などの大型船舶で、サイバーセキュリティへの取り組みが急速に進んでいます。一方で、ボートの様な小型船舶ではサイバーセキュリティ問題が顕在化しておらず、サイバーセキュリティの規格化などの動きが始まっていません。しかしながら、セルラー通信等を通じて外のネットワークとのつながりが広がってきている現在、潜在的な脅威を否定することは出来ません。何をどれだけ、どの様に取り組んで行けば良いのか、「これだ!」という拠り所が見当たりません。いろいろと検討をした結果、まずは自動車の法規制や制御システムの諸規格、ガイドラインなどを参考にするのが一番良いのではと思いました。
担当しているシステムは自動車に類似しているため、UN R-155やISO 21434を参考にしています。これらの内容を製品セキュリティプロセスの構築にいかすことができればと考えています。
ーーー テュフ ラインランドのCySecコースを選ばれた理由は何ですか。
理由は大きく3つあります。
一つは信頼感です。1990年代にEMC指令への対応に関し業界団体の委員として協議していた時、テュフ ラインランドから認証機関としての解釈などを説明していただきました。その時の印象が強く、信頼のおけるテュフ ラインランドのトレーニングがあることを知り申し込みました。
二つ目は、全ライフサイクルでの問題でもある、プロセス構築を理解することです。どうしても開発フェーズでのプロセス構築に目が行ってしまいますが、ライフサイクルに目を向ける必要があると感じ、認証機関であれば全体の話を聞けるのではと思いました。具体的には、開発後、市場に出てからのセキュリティ保証やサプライチェーンにおけるサイバーセキュリティの確保などをしっかり押さえたいと考えました。これについても、講義内容に盛り込まれていたからです。
三つ目はTARAです。開発部門のため、特にV字プロセスの左上、上流工程での脅威・リスク分析を重要視しています。今までは慣れ親しんだR-mapやFMEA、FTAを修正するなどして自己流で行っていました。部門のメンバー全員が、分析目的に応じて抜け漏れなく妥当性の高い分析を効率よくできるようにするため、TARA手法に着目していたところです。テュフ ラインランドのトレーニングでは、特にTARAを身に着けることに重点を置かれていたので好感を持ちました。
ーーー 実際に受講され率直な感想をお聞かせください。どのような印象でしたか。
長く、大変でした、疲れました、というのが正直な感想です。新たに開設する拠点への異動と重なってしまったのも目が回るような大変さだった原因です。
もちろん、ISO 21434をきちんと理解するためのトレーニングでもあるため、大変なのは承知の上でした。規格全体を俯瞰し、規格が何を言っているのか、その意図を含めて、少しでも本質に触れることが出来たのではと思います。
ーーー講義については、どのような印象でしたか。
トレーニングの内容は期待していたとおりでした。サプライチェーンやTARA、サイバーセキュリティ文化など、大切なポイントがしっかり押さえられている内容でした。また、実務的な解説だったのがとても良いと感じました。「教科書を読めばよかった」という印象になりがちなセミナーもありますが、「こうすれば、こうできる」という説明が、現場にすぐにいかせる気がします。特に脅威分析とリスクアセスメントのTARAは、とても分かりやすく具体的で、すぐに実務応用して展開できる構成でした。やはり、自己流よりも合理的です。実務展開できてこそのトレーニングですので、特に有益だったと思います。
ーーー 今後の業務でどのように役立ちますか。
トレーニング内容を紐解きつつ、製品サイバーセキュリティのマネジメントシステム構築とサイバーセキュリティ技術の研究を含め、そのまま仕事に適用しているという状況です。自動車向けサイバーセキュリティエンジニアリングのベースラインを得ることが出来たのではと思い、とりわけ、TARAについては自己流ではなく、他の開発メンバー(初心者含め)にも、ベーシック・ベースラインをきちんとやればできるという話をして、社内で進めています。まだまだ勉強が必要ですが、トレーニングで得たことをSeeds(種)にして、実務成果として発展させたいと思っています。
最後になりますが、サイバーセキュリティ文化の醸成の大切さを感じたことも大きな成果でした。これについても組織で実務展開して行きたいと思います。
インタビューを終えて(弊社 モビリティ事業部 営業 柏木)
本日はお忙しい中、貴重なお話しを聞かせていただき、ありがとうございました。
北米のマリン文化についても、とても興味深いお話しでした。マリン文化に敬意を払い、誇りをもち、ユーザーの安全を考慮した製品設計・開発、サイバーセキュリティ取り組みへの熱意が感じられたインタビューでした。
テュフ ラインランドのFSEコースは、経験豊富な認証検査員による丁寧な講義、世界レベルの資格を取得できるなどが特徴で、日本では2006年から毎年実施しています。ご興味がございましたら、ぜひお問い合わせください。
ISO/SAE 21434 サイバーセキュリティ(CySec)スペシャリスト資格認定トレーニングコース【オンライン】
2022年11月15日(火)~18日(金)、11月21日(月)会場で質疑応答(任意)と試験
お申し込み締め切り:2022年11月1日(火)
自動車のサイバーセキュリティ認証にかかわる支援サービス (ウェブサイト)
サービスのご案内フライヤー(CSMS/SUMS認証およびCS/SU (OTA)車両型式認証にかかわる支援、UN-R155/R156とISO/SAE 21434に対応)
お問い合わせ:
テュフ ラインランド ジャパン株式会社
モビリティ事業部 営業 柏木 貴志 TEL:045-470-3469
モビリティ事業部 車両安全、自律運転とコネクテッドカー 代表アドレス: fsmobility@tuv.com
カスタマーサービス(TEL: 045-470-1850 E-Mail: info@jpn.tuv.com)
更新日 : 10/26/2022