【コラム】自動車産業におけるサイバーリスク


2022年2月28日、自動車業界全体に衝撃が走りました―――。

 自動車販売台数最大手のトヨタ自動車が、同社の一次取引先である小島プレス工業のシステムがランサムウェアに感染したことを理由に、翌3月1日に日本国内の全工場・ラインの稼働を停止すると発表したためです。

 今回のサイバー攻撃はトヨタ自動車(の取引先)へのランサムウェア攻撃でしたが、自動車業界を狙ったこのようなサイバー攻撃は、これまでも数多くありました。例えば、2019年3月には、トヨタ自動車の販売子会社において、不正アクセスによる最大310万件の顧客情報の流出可能性が判明しましたし、2020年6月には、ホンダが、サイバー攻撃により、アメリカ、トルコ、インド等の計11工場における生産の一時停止に追い込まれました。

 そもそも自動車業界は、自動車部品の原材料の提供、部品の製造、自動車の生産、消費者への販売といった形で多くの事業者が関与しています。この形態は、いわゆる「サプライチェーン(供給網)」と呼ばれており、このような実態からも、自動車メーカー本体のみならず、その取引先に対してサイバー攻撃が行われた場合でも、自動車メーカー本体への影響は計り知れません。

 それにもかかわらず、特に、自動車メーカーの取引先でのサイバーセキュリティに対する意識には大きな温度差があり、対応している企業もあれば全く対応に至っていない企業もあるのが実情です。このような現状から、安全・安心な自動車産業の発展のためにも、業界全体でのサイバーセキュリティ対応が必要不可欠といえます。

 2020年3月1日、日本自動車工業会と日本自動車部品工業会が、共同で、セキュリティガイドラインの初版を策定しました。その後、このガイドラインは、業界における試行・点検を経た上で、2022年3月31日、「自工会/部工会・サイバーセキュリティガイドライン」(2.0版)として改訂されました。

 同ガイドラインは、自動車産業における多くの情報システムがインターネットに繋がることでサイバー攻撃の脅威が増していることに加え、攻撃者が標的の企業を狙うために、サプライチェーンを狙ったサイバー攻撃も懸念されることから、対策フレームワークや業界共通の自己評価基準を明示することで、自動車産業全体のサイバーセキュリティ対策のレベルアップや対策レベルの効率的な点検を推進することを目的としています。そのため、同ガイドラインは、自動車産業に関係する全ての会社を対象とした上で、「自動車産業サプライチェーン全体のセキュリティの向上」を優先課題としています。

 そして、中小企業を含めた全ての企業が同ガイドラインを活用できるようにするために、

・自動車産業全体で最低限実装すべき項目(Lv1)
・標準的に目指す項目(Lv2)
・最終到達点として目指すべき項目(Lv3)

 という形で、セキュリティ対策の内容をレベル別に分類しています。具体的には、下表のとおりです。


レベル   定義各レベルの達成を目指すべき会社
Lv3 2022年4月時点で自動車業界が到達点として目指すべき項目・会社規模・技術レベルの観点で自動車業界を代表し牽引すべき 立場の会社またはそれを目指す会社
◆Lv1~3の全項目を達成
Lv2自動車業界として標準的に目指すべき項目・サプライチェーンにおいて社外の機密情報(技術・顧客情報等)を取り扱う会社
・自動車業界として重要な自社技術/情報を有する会社
・相応の規模/シェアを有し、不慮の供給停止等により業界のサプライチェーンに多大な影響を及ぼし得る会社
◆Lv1、2の全項目を達成
Lv1自動車業界として最低限、実装すべき項目・自動車業界に関係する全ての会社
◆Lv1の全項目を達成

自工会/部工会・サイバーセキュリティガイドライン(2.0版)
<図:自動車産業 CS ガイドラインのセキュリティレベル定義>より引用


 サイバー事故を例にした場合、サイバー事故時の対応手順を定めることはLv1、サイバー事故として扱う対象範囲の明確化・周知はLv2、サイバー事故を含めた自社の事業継続計画等の作成はLv3としています。このように、計24のテーマについて153もの項目分けをし、それぞれレベルを定めているのです。

 組織内における体制・規模等によって、まずはLv1から段階的に対応を進めていく企業も想定されますが、Lv3までの項目を設けた上で業界全体を通じてガイドラインを策定し、「業界一丸となってセキュリティレベルアップに取り組んで参ります」と意思表明をしていることからも、サイバーセキュリティ対応に向けた自動車業界の“本気の姿勢”が垣間みえます。