連載「自動車のサイバーセキュリティ」 番外編
国土交通省は、2021年1月22日よりUN-R155/UN-R156を法規として施行し、いよいよ自動運転技術の環境が整いました。
コネクテッドカーの登場は、ディーラーに行きソフトウェアを更新するという時代に終わりを告げ、スマホのソフトウェアアップデートのようにいつでもどこでもネットワークにつながり、最新のサイバーセキュリティ要求などを更新できる時代に変わったことを意味します。また、自動運転車が公道を走るということは、自車のセンサー以外にもインフラや他車とコミュニケーションが必要となります。これらは利便性や安全性の向上に貢献する一方、悪意のあるサイバー攻撃を受けた場合、個人情報はもとより生命も脅かされるリスクを伴います。こういった環境下では、安全な状態でソフトウェアアップデートができることが肝となるため、サイバーセキュリティが一段と重要となっていきます。
| UN-R155/UN-R156の適合は2022年7月から必須となります。 適合に関する専門家へのご質問は、お気軽にお問い合わせください。 UN-R155/156関連のセミナを含む自動車の機能安全・サイバーセキュリティトレーニングコース 2024年度スケジュールはこちら |
実際にUN-R155を読むと要求に関する情報が少なく、具体的なイメージを持てずに苦労をされている方が多いのではないでしょうか。提供元のWP29*¹は、要求内容の明確化やよりわかりやすい記述が必要と判断し、認可を受けるOEMとシステムを評価する私たち技術サービスや認可当局向けに解釈文書*²を発行しました。この解釈文書とは、UN-R155の中で特に重要な記述であるパラグラフ7の「仕様」の要求を明確化し、より具体的な内容が書かれている副読本ともいえます。
*¹ WP29は国連欧州経済委員会(UNECE)におけるWorking Group 29自動車基準調和世界フォーラムの略称
*² Proposal for the Interpretation Document for UN Regulation No. [155] on uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system
副読本というくらいですから、これがあれば準拠出来るかというとそう簡単ではありません。具体例をあげて説明します。
法規では、
| UN-R155の 7.2.2.2 車両メーカーは、自社のCSMSサイバーセキュリティ管理システムで使用するプロセスによってセキュリティが十分に確保 されることを証明するものとする。これは下記を含むものとする: a) サイバーセキュリティ管理のためにメーカーの組織内で使用するプロセス |
と記述があります。
しかし、サイバーセキュリティ管理のプロセスは範囲が広くどの程度まで詳細化し、提示資料は何を準備すれば良いのかなどの記載はありません。
それでは、解釈文書の該当箇所を見ていきます。
上記7.2.2.2の要求は、
・適用範囲は、型式のサイバーセキュリティに関連するプロセスに限定する
とあります。またライフサイクルを通して、サイバーセキュリティ管理活動を示すために活用できるものとして、
(a)サイバーセキュリティ組織構造
(b)サイバーセキュリティ管理の役割と責任
が規定されています。
あわせて解釈文書の中に記載のある「ISO/SAE 21434を利用可能として考えられる」というヒントを基に、ISO/SAE 21434を改めて確認すると作業成果物である
・サイバーセキュリティポリシー
・組織固有のルールとプロセス
・サイバーセキュリティ文化
などが示されています。
上記から解釈文書には具体例も示され、要求の明確化や理解力の向上には、間違いなく有効であることが理解いただけると思います。
しかし、実際の監査を受ける際は監査側の思惑や具体的な要求内容までは分かりません。あらかじめ工数をかけて完璧に対応する方法もありますが、限定された情報で理解しようとすると限界が生じます。また、間違った理解で作業を進めることにより、適合から遠ざかる可能性も出てきます。そういったことが生じないように、要求をかみ砕いて説明してくれる専門家に相談して、より深い理解を得られれば工数を減らした適合までの近道がみつかるでしょう。
いままで独学で進めてきた方やこれから読み込みたいという方に、先ほどの解釈文書に即したガイドブックを作成しました。このガイドブックでは、監査のポイントを理解するヒントとテュフ ラインランド ジャパン推奨内容*を整理していますので、参考にしていただければと思います。ぜひ、法規UN-R155/UN-R156および各解釈文書の隣において活用ください。
*テュフ ラインランド ジャパン推奨は監査での適合を保証するものではありません。
自動車業界においては、100年に1度の大変革ともいわれる時代です。新たに追加される法規や規則はこれからもさらに増えていくことでしょう。わずかな解釈の違いで安全が脅かされるサイバーセキュリティだからこそ、一つ一つ丁寧に読み解いて、ご自身の知識を埋めていっていただきたいと思っています。
 |
本多 克三 (ほんだ かつみ) |
お問い合わせ:カスタマーサービス(TEL: 045-470-1850 E-Mail: info@jpn.tuv.com)
シリーズ 「自動車のサイバーセキュリティ」
第1回 : UN-R155 に適合するには
第2回 : はたしてISO/SAE 21434に適合することが、UN-R155/UN-R156 のCSMS/SUMS認証を取得するための十分条件なのか?
第3回 : ISO/SAE 21434とUN-R155に関係するリスク軽減策を導く際に考慮すべき点とは
最終回 : サイバーセキュリティの視点で読むUN-R157
番外編 : UN-R155/UN-R156の準拠でやってはいけないことーWP29発行の解釈文書のトリセツ
更新日 : 6/14/2024