2021/10/01

自動運転やゼロエミッション化など、未来の社会に大きな影響を与える自動車の新たな開発目標が登場しています。そうした未来の自動車においては、インターネットに「つながる車」（コネクティッドカー）であることが当然となり、単なる移動手段を超える付加価値をもたらすモビリティサービスの提供も行われていきます。
今広く使われているスマートフォンやパソコンといったIT機器のように、販売店にわざわざ行かなくても手元においたまま、新しいサービスを契約する、ソフトウエアを更新する、といったことができるようになります。

その一方で、やはりIT機器と同じくサイバー犯罪の脅威にさらされることとなり、これまで考慮する必要性が低かったサイバーセキュリティ対策が自動車にも必要となります。今回はこの自動車向けサイバーセキュリティの国際的な取り組みについて紹介したいと思います。

自動車向けサイバーセキュリティの国際的な取り組み

自動車の安全・環境に関する国際的な調整を行う場として自動車基準調和世界フォーラム（UN/ECE WP29）という国際連合の組織があり、ここでは自動車向けサイバーセキュリティについても議論が進められてきました。
そして、基準の国際調和と車両等の型式認定を相互承認する協定（58協定）を締結した日本やEU諸国を含む50カ国を対象に、自動車向けサイバーセキュリティ対策を求める国連規則UN-R155が2021年1月付で発効しました。これにより、日本では2022年7月より自動運転車や無線によるソフトウエア自動更新をサポートするコネクティッドカーを対象に、その義務付けが始まります。

この自動車向けサイバーセキュリティ対策の大きな枠組みは次の通りです。

• 自動車メーカーがサイバーセキュリティ管理を行うシステムを整備し、サプライチェーン管理を通じて部品メーカーにも対策を求めます
• 自動車メーカーは車両の設計開発時にサイバーセキュリティ上の脅威を分析して対策を施し、国土交通省の審査（型式認証）を受けます
• 自動車メーカーは量産出荷後も継続的に車両の脆弱性を管理し、必要に応じてソフトウエア修正等の対策を行います

このようにして開発から量産出荷、最終的には廃車にいたるまでのライフサイクル全体を通じて自動車メーカーがサイバーセキュリティ管理を行うことで、自動車の安全を保つという仕組みになっています。

ドライバーにも求められるサイバーセキュリティへの意識

それではドライバー側で意識しておくべきことはあるのでしょうか。
自動車メーカーがサイバーセキュリティ管理を行っているとしても、100%の対策ということはあり得ません。加えてドライバーが不適切な行動をとると、その対策にも穴が開くことになります。
例えば非純正部品への交換などの改造を行うと、そこは自動車メーカーのサイバーセキュリティ管理の対象から外れてしまうことになります。また、ソフトウエア更新の通知が出ているにも関わらず無視していると、必要な対策が行われない状態が続きます。そのような不適切な行動によって生じた脆弱性を利用したサイバー攻撃により事故に遭うと、損害保険が受けられなくなる可能性も出てきます。
サイバーセキュリティにおける最大の弱点は人です。コネクティッドカーとなることでさまざまなメリットを享受できるようになる一方で、その陰ではIT機器と同様にサイバー犯罪の脅威にも面しているということも、ドライバーは意識していくことが必要になるでしょう。

執筆者

橋本 幸典

NDIAS
代表取締役社長