近年、コネクテッドカーなど、車両が外部ネットワークに接続されたことにより、サイバー攻撃の危険が増している。車両のサイバーセキュリティに関して定めた国際標準規格「ISO/SAE 21434」について解説する。
インターネットの仕組みを活用し、ドライバーを支援するコネクテッドカー。最新の交通状況を把握して渋滞を避けたり、トラブル時のブレーキ制御や、現場の記録、通報を行うなど、多彩な機能に期待が寄せられている。一方、懸念されるのは外部のサイバー攻撃により、アクセルやブレーキ、ハンドルの操作権が奪われたり、移動情報を盗まれプライバシーを侵害されるといった事態だ。
そこで、自動車のサイバーセキュリティ対策について定めた国際標準規格が「ISO/SAE 21434」だ。「ISO/SAE 21434」は、全15章からなる本文と、8つの付記で構成されている。1章から4章までは規格の対象範囲や参考文献、用語の定義などが記されている。5章から15章までがサイバーセキュリティに関する項目だ。
5章と6章では、サイバーセキュリティマネジメント全般について、7章ではサポート終了までの継続的なセキュリティ管理について書かれている。8章「リスクアセスメント」は、サイバーセキュリティのリスク評価について定義した章だ。
9章「コンセプト設計」では、車両を構成するアイテムと、発生しうるリスクを羅列し、サイバーセキュリティの目標を定義している。10章から11章では、製品開発の段階において、サイバーセキュリティの仕様をどう定義し、実装・検証するかについて説明している。
12章から14章は、車両の製造から運用、廃棄までのライフスタイルを通し、サイバーセキュリティに関して考慮すべき事項をまとめた章だ。最後の15章「サプライチェーンにおけるサイバーセキュリティ」では、下請け業者などに求められるサイバーセキュリティの対応や、外注する際の要件、責任範囲について記されている。
自動車は、製造から運用、廃棄に至るまで、メーカー、販売業者、保険業者、外部機器メーカーなど、多くの組織や人が関わる製品だ。必然、その全ての過程でサイバーセキュリティ対策が求められる。「ISO/SAE 21434」ではさまざまな組織が参照できるよう、細部については触れられていないが、今後、自動車のIT化が進むとともに、業者ごとにとるべき対策や注意事項がまとめられていくだろう。