TISAX – 自動車業界の情報セキュリティサービス

自動車メーカーからサプライヤーまで、自動車産業のサプライチェーンはすそ野が広く、サプライヤーの拠点は世界各国におよびます。そしてネットワークを介して、企業間のシステムが互いに接続されるようになり、さまざまな情報セキュリティ・サイバーセキュリティリスクが顕在化しているというのが、現在自動車産業が直面している課題の一つです。例えば、1つのサプライヤーが情報セキュリティの問題に直面すると、その影響がサプライチェーン全体に及ぶという事態を招くことになりかねません。

自動車産業が盛んな国のひとつであるドイツでは、サプライチェーンにおける情報セキュリティ管理の実装、そして実装した管理方法の成熟度などを標準化した評価基準（VDA ISA）で評価し、その情報を共有するための制度を策定しました。それがTISAX（Trusted Information Security Assessment Exchange）です。

TISAX－ドイツ自動車工業会が策定した自動車産業の情報セキュリティシステム

TISAXは、ドイツ自動車工業会（VDA）が2017年にドイツ自動車業界の情報セキュリティ制度として構築したプラットフォームで、ドイツ自動車工業会に所属する自動車メーカーとそのサプライヤーが採用する情報セキュリティ評価と評価結果を共有することを目的にしています。ドイツの自動車自動車メーカーの中には、サプライヤーにこのTISAX対応を求めているところもあります。またTier1のサプライヤーが、下流のサプライヤーにTISAX対応を求めるような事例も散見されます。

サプライヤーが、TISAXに参加することで得られる最大のメリットは、情報セキュリティの審査方法が共通化しているので、OEMベンダー個別の審査を重複して受けるという事態を回避できるということです。そのため時間と費用を節約できるということもメリットとして挙げられます。

サプライヤーにとってTISAX対応の最大の課題

TISAXで採用されているVDA ISAは、VDAの要求事項に基づいており、国際規格ISO/IEC 27001（情報セキュリティマネジメントシステム）に規定されているISMSの要件が含まれています。

したがって、社内にISMSのLead Auditor同等の資格を保有する専門家が在籍しており、TISAXおよび自動車業界特有の要求事項について十分理解したうえで、数ヵ月の間TISAX業務に専念することができれば自社での対応は不可能ではありません。しかし、自社内にそのような専門家が不在の場合、自力で対応するのはかなり難易度が高いといえます。それがサプライヤーにとてTISAX対応の課題にあげられています。

また、初回の審査から適合レベルの発行まで9ヵ月で完了しなければならないと期限が設けられています。もし初回の審査の段階で要求事項を満たしていないが多く発見された場合、その分析と是正措置プラン策定し、実行に移すことを考慮すると9ヵ月という期間は決して長い期間ではないことがわかります。まずは事前に問題の洗い出しと対策を十分に行ったうえで、審査に臨んだほうが良いでしょう。

TISAX – 自動車業界の情報セキュリティサービス

ドイツに本社をおくテュフ ラインランド ジャパンは、自動車生産の企画開発から型式認証、そして自動車販売後のアフターマーケットまで自動車のライフサイクル全体にわたってサービスを提供する長年の知見と実績があります。また、サイバーセキュリティ、情報通信分野における包括的な専門家をグローバル規模で有し、さまざまな支援を行っています。

「TISAX – 自働車業界の情報セキュリティサービス」は、初回審査前に情報セキュリティ対策プロジェクトをどのように立ち上げて対応をすすめればよいか、TISAX要求事項の説明や解釈の仕方、TISAX審査の準備ができているかなど、サプライヤー企業が適切に対応をはかる上での支援を提供するサービスです。

(なお、社内規定に基づき、本支援を提供した企業には、TISAXおよびISO27001の審査サービスを2年間テュフ ラインランドからは提供できなくなりますので、その点ご留意ください。)

テュフ ラインランド ジャパンは日本国内にTISAXの専門家を有します、ぜひご質問やご相談がありましたらお問い合わせください。