自動車のセキュリティといえば、自動運転や運転支援機能のハッキングが話題だった時代があった。10年ほど前、研究者やハッカーが通信機能を持つ高度安全運転支援システム（ADAS）車両をハッキングして遠隔操作する実験やデモがメディアを騒がせた。だが、その多くは、CAN（Controller Area Network：車両内制御ネットワーク）への接続が必要だったりと、車両への物理的な接触、接続を伴うものだった。

このような実験や研究は、セキュリティ対策の研究、攻撃PoC（Proof of Concept）の実証には非常に意味のある取り組みだが、純粋にインターネット経由で車両を遠隔操作するハッキングはあまり現実的なものではなかった。走行中の車両を攻撃、遠隔操作をすることには、実は攻撃者の動機、メリットがあまりない。多くのサイバー攻撃者は、詐欺やその他の金銭目的犯罪などでハッキングを行う。テロや破壊活動が目的でなければ、自動車をハッキングし遠隔操作したり、運転を妨害してもお金にならないからだ。

だが、自動車業界は現在、100年に一度といわれる変革期にある。CASEと呼ばれる次世代車両の開発、販売が広がっている。CASEとはConnected（IoT化）、Autonomous（自動運転）、Shared（シェアリングエコノミー）、Electric（電動化）の頭文字をとった言葉。2016年にダイムラーが提唱した概念、トレンドとされる。

自動車と電気・電子技術との関係は長い歴史を持つ。自動車の電子制御は点火装置や燃料噴射などでは1950年代から存在した。1980年代にはコンピュータによるエンジン制御が開発され、現在平均的な車両には数台から数十台のECUと呼ばれるマイコンが搭載されている。これらはソフトウェアで制御されている。車両のソフトウェア依存はいまに始まったものではないが、CASE車両ではそれが加速する。1台あたりのソフトウェアコードの総数が1億行から3億行にまで増えるとも言われている。

業界では、CASEによって自動車のビジネスモデルも変わると見ている。自動車ハードウェアの共通化が進み、燃費や馬力のような車両本体の性能・機能による価値から、ネット接続や自動運転、シェアリングなどサービスによる付加価値にシフトする。それには、車両内部のソフトウェア、車載やスマホのアプリ、クラウドサービス、クラウドプラットフォームとの連携が不可欠となる。

アプリと連動しない車、クラウド接続しない車は市場において競争力を発揮できなくなる。これらのサービスはインターネット接続が必須となり、サイバー攻撃のリスクが増大する。堅苦しい表現をしたが、要は家電業界や金融、自治体、重要インフラ業界、病院など医療業界で起きたIT化、ITとの融合が自動車業界でも本格的に始まり、サイバーセキュリティ強化が急務となっている。

もちろん、自動車業界もIT化やセキュリティ対策には取り組んでいただろう。業務PCやスマートフォンのメール、アプリ、業務情報システムのセキュリティ対策は一般的な企業と変わらない。事業者や工場ごとにISO9000シリーズ、ISO2700シリーズなどのセキュリティ標準の認定を受けているところも珍しくない。

今回の法改正は、既存のセキュリティ基準では足りない項目や対策、とくにネット接続を前提とした自動車に必要な要件を明文化している。具体的には、自動車の設計から製造、販売後の保守運用も含めたセキュリティ基準（CSMS）の認定を要求する。加えて、OTA（Over the Air）と呼ばれるネットワーク経由のソフトウェアアップデート機能のためのセキュリティ対策の要件も規定する。そして、この2つをクリアしなければ、その車両の型式指定が受けられなくなる。型式指定が受けられないと、メーカーは量産車両1台ごとに国の審査を受ける必要がある。

自動車の安全対策基準にサイバーセキュリティを加える動きは、国連の枠組みで以前から進められていた。したがって、国内の法改正（道路車両運送法・保安基準および道路交通法）もその流れを受けたものだ。コネクテッドカーや自動運転機能の規制や安全については、国連のWP29（自動車基準調和世界フォーラム）が議論を重ねている。その中で、サイバーセキュリティは「機能安全」にかかわる項目として既存の規制や制度の検討が行われている。

WP29では、機能安全の国際基準としてIEC61508（SIL：Safety Integrity Leve）、IOS26262（ASIL：Automotive Safety Integrity Level）を参照している。これらの基準はシステムの要求パフォーマンスの中で達成すべき安全性のレベルを規定している。機能安全の中でサイバーセキュリティはISO/SAE 21434の基準をもとに、自動車メーカーに求められるセキュリティプロセスの要求事項と、OTAのセキュリティ要件が決められた。

前者、セキュリティプロセスはUN-R155、後者OTA関連はUN-R156として規格化され、2021年1月に発行されている。7月の道路運送車両法の改正施行はUN-R155と156を反映したものだ。UN-R155は、メーカーにCSMS適合証明を受けることを義務付けている。CSMSは情報セキュリティマネジメント（ISMS）と基本は同じものと考えてよい。企業に求められるサイバーセキュリティ対策の方針、体制、対策が明文化され、組織に展開され継続改善運用される仕組みの構築が要件となる。UN-R156は、車載ソフトウェアのオンラインアップデート機能に必要なセキュリティ基準を規定している。通信の安全性、認証機能やセキュリティリスクの低減策の実装（SUMS認証の取得）が義務化される。

前述したように、これらの規定が2024年にはOTA機能や自動運転機能の搭載有無にかかわらず適用されていく。仮に、OTAに対応しない長期製造継続モデルがあったとして、2024年より先もその車を製造販売するには、UN-R155（これは組織的な基準だが）とUN-R156（車両にセキュリティモジュール等の組み込みがおそらく避けられない）を満たす必要がある。

自動車業界、セキュリティ業界として注意すべきは、自動車関連法の改正が、OTAや自動運転のセキュリティ対策という技術的な話にとどまらないことだ。もちろんテクニカルな基準が主要なテーマではあるが、CASE車両による影響はセキュリティ対策も大きなインパクトとなるからだ。

ソフトウェアが車の価値や機能を決めるCASE車両において、安全性を維持、担保するにはアップデートが不可欠だ。脆弱性はどこに潜んでいるか事前に把握することはほぼ不可能だ。技術革新によって生まれる脆弱性もある。

そもそも、バグのないソフトウェアは現実にはあり得ないからだ。定期的なセキュリティアップデートは自動車においても不可欠になる可能性がある。関連して、脆弱性ハンドリングの考え方を自動車業界にも導入する必要がある。脆弱性ハンドリングは、おそらく自動車のリコール制度と連携する形で整備されるだろう。

多くの自動車メーカーは、当面OTAアップデートはディーラーの整備工場などに持ち込むことを前提としているが、テスラのようにリコールをOTAで対応するメーカーも現れている。

もうひとつ注意しなければならないのは、UN-R155に関連するセキュリティ体制や対策を、自動車サプライチェーン全体で均一に浸透させる、あるいは全体に強化するのが必要なことだ。サプライチェーン全体の連携、対策の強化はCSMS認証でも要求される。サプライチェーン攻撃は自動車業界でも深刻な被害が発生している。取引先工場がランサムウェア攻撃を受け生産管理システムが停止したため部品の出荷ができなくなり、最終的な車両組み立てラインまで止めざるを得なかった事例が報告されている。

上流のシステムやメーカーの工場は全く正常でも、部品ひとつ欠品するだけで製造チェーンのすべてが止まってしまう。在庫を極力排除したジャストインタイム方式の弱点だ。近年は半導体不足やコロナによる工場ロックダウン等で生産計画がくずれがちだ。納期遅れによる機会損失は各社の業績にも影響がでている。

車両そのもののサイバー攻撃対策も手を抜けないが、サプライチェーン全体の強靭化も同様だ。業界は企業規模を問わず当事者意識をもってCASE時代のサイバーセキュリティ対策に取り組む必要がある。