COLUMN COLUMN
2024.6.21 /
自工会セキュリティガイドライン2.1
目次
2023年9月1日に自工会セキュリティガイドラインが改訂され、バージョンが2.1となりました。どのような背景で改訂が行われたのか、どのようなポイントが変更になったのか、簡単にまとめてみます。
自工会(一般社団法人日本自動車工業会)とは
自工会(じこうかい)は、正式名称を一般社団法人日本自動車工業会といい、日本の自動車生産企業を会員とする業界団体です。略称はJAMA(ジャマ)としても知られています。1967年に、前身である自動車工業会と日本小型自動車工業会との合併により設立されました。乗用車、トラック、バス、二輪車など、国内において自動車を生産するメーカー14社で構成されています。自動車産業の健全な発達を図り、持続可能な経済及びモビリティ社会の実現、更には社会課題の解決に寄与することを目的として活動しています。
自工会セキュリティガイドライン改訂の背景:深刻化するサイバー脅威とその原因
自工会がセキュリティガイドラインを改訂した背景には、最近自動車業界における損失となるサイバー被害が増加してきたことが挙げられます。
自動車業界への攻撃が増加している背景には下記のような原因が考えられています。
コネクテッドカーの普及
近年、自動車にはインターネットに接続する機能が搭載されるコネクテッドカーが普及しています。コネクテッドカーは、車載情報システムや自動運転技術など、高度な機能を搭載していますが、その一方で、サイバー攻撃の標的にもなりやすくなっています。
サプライチェーン攻撃の増加
近年、自動車メーカーだけでなく、サプライチェーン全体を狙ったサイバー攻撃が増加しています。サプライチェーン攻撃では、自動車メーカーの取引先企業が攻撃され、そこから自動車メーカーのシステムに侵入するケースなどが発生しています。
具体的な自動車業界におけるサイバー攻撃の被害事例
実際に、ここ数年で発生した自動車業界におけるサイバー攻撃の被害事例には下記のようなものがあります。
2021年:トヨタ自動車の部品調達先であるデンソーがランサムウェア攻撃を受け、生産に影響が出ました。
2022年:ホンダがサイバー攻撃を受け、約100万台分の顧客情報が流出しました。
2022年:米国の自動車メーカー、ステランティスがサイバー攻撃を受け、生産に影響が出ました。
これらの被害事例からも分かるように、自動車産業におけるサイバー攻撃は、企業の生産活動に大きな影響を与えるだけでなく、顧客情報流出などの深刻な被害を引き起こす可能性があります。
今回改訂されたポイント
こうした状況を踏まえ、自工会/部工会では、自動車産業全体のサイバーセキュリティ対策レベルをさらに向上させるために、ガイドラインを改訂しました。どのような改訂が行われたのか、ポイントをまとめました。
重要項目の追加と見直し
従来の133項目に加え、新たに20項目の重要項目を追加し、計153項目となりました。
重要項目の見直しを行い、自動車産業における最新の脅威やリスクを踏まえた項目に更新されています。
レベル別の項目の見直し
重要項目に加え、標準項目と目標項目の計3つのレベルで構成されていた項目を、重要項目と標準項目の2つのレベルに再編しました。
各レベルの項目内容を見直し、より現実的で達成可能なレベルに設定されています。
自己評価チェックシートの改訂
改訂内容を反映した自己評価チェックシートを作成し、企業の自己評価を容易にしました。
チェックシートは、JAMA/JAPIAのウェブサイトからダウンロードできます。
- 項目の追加・見直し
重要項目を133項目から153項目に増加し、最新の脅威やリスクを反映した項目が追加されました。標準項目と目標項目の内容を見直し、より現実的で達成可能なレベルに設定されています。
- 項目構造の変更
重要項目と標準項目・目標項目の3つのレベル構成を見直し、重要項目と標準項目の2つのレベル構成に変更されています。
- シートレイアウトの変更
項目ごとに設問内容を明確化し、回答しやすいレイアウトに変更されています。
自己評価シートの活用方法
自己評価シートは、以下の方法で活用することができます。
- 自社のセキュリティ対策状況を把握
153個の項目について、自社の対策状況を「該当なし」「0:未実施」「1:対応中」「2:対応完了」の4段階で評価します。評価結果を分析することで、自社のセキュリティ対策の強みや弱みを把握することができます。
- セキュリティ対策レベルを向上
標準項目と目標項目を参考に、自社のセキュリティ対策レベルを向上させることができます。具体的には、未実施の対策を実施したり、不十分な対策を強化したりすることで、セキュリティ対策レベルを向上することができます。
- PDCAサイクルを推進
定期的に自己評価を行い、評価結果を分析することで、PDCAサイクルを推進することができます。PDCAサイクルを回すことで、継続的にセキュリティ対策を改善することができます。
まとめ
自工会セキュリティガイドライン2.1は、自動車メーカー、部品メーカー、ソフトウェア開発会社など、自動車産業に関わるすべての企業を対象としています。取引においても重要な要素となってくる可能性がありますので、できるだけ早くガイドラインへの適応を進めることをお勧めします。
もし、社内ではセキュリティガイドライン等の対応がよくわからないということであれば、バルクでは自工会セキュリティガイドライン2.1への対応支援も行っていますので、お気軽にご相談ください。
参考)
自工会セキュリティガイドライン2.1の詳細については、以下のウェブサイトをご覧ください。
JAMA/JAPIAウェブサイト: https://www.jama.or.jp/operation/it/cyb_sec/cyb_sec_guideline.html