J-Auto-ISAC サポートセンター長 中島氏に聞く「自動車業界全体のセキュリティ意識向上にむけて」

日本版「Auto-ISAC」が不可欠だった理由

丸山：
中島さんは「Japan AutomotiveISAC」（略称J-Auto-ISAC、主に自動車に関わるサイバーセキュリティ情報の収集・分析を行う）の設立にも関わっていたとお伺いしていますが、J-Auto-ISAC設立の背景を教えていただけませんか。

中島：
1つのきっかけになったのは、2013年の「DEF CON」です。ハッカーの祭典と言われるDEF CONで、ある日本車のハッキング手法が公開されました。コネクテッドカーや自動運転自動車の開発が進む中、これをきっかけに日本国内でも車両サイバーセキュリティの必要性が指摘され、各社の中で議論が始まりました。

丸山：
自動車業界にとってサイバーセキュリティは、これまでになかった領域です。DEF CONでは、2015年にもある四輪駆動車のコネクテッドカーシステムに脆弱性があることが公開されました。この脆弱性を悪用すれば、エンジンやブレーキなどを外部から自在に操作できるとして、該当車種140万台がリコールされました。ソフトウェアの脆弱性1つで、これまで築き上げてきた自動車業界の「安全性」が根底から脅かされたのを覚えています。

中島：
自動車業界には自動車メーカーの団体である日本自動車工業会（JAMA）や日本自動車部品工業会（JAPIA）など、多くの業界団体があります。自動車の技術はもちろんITを課題として取り扱う組織はありましたが、車両のサイバーセキュリティはちょうど真ん中で、どちらの領域からも手を出し難く、また自動車メーカーとサプライヤーの協力が不可欠なテーマであるため、議論をする場をつくるところからのスタートになりました。

2017年にJAMAの中に「ワーキンググループ」を新設して議論を進め、自動車メーカー全14社、それからJAPIAと連携して順に理解者、協力者を増やしていきました。

またサイバーセキュリティは、IT事業者が先行して取り組んでいる領域です。そのような状況の中で、JPCERT/CC（Japan Computer Emergency Response Team Coordination Center）やテレコムISAC（現、ICT-ISAC）をはじめとするIT分野の方たちから、「サイバーセキュリティ情報を共有する自動車業界の受け皿的な組織が欲しい」という要請がありました。

そして2021年2月に一般社団法人 J-Auto-ISACを正式に設立し、2021年7月から本格的な活動を開始しました。

丸山：
J-Auto-ISACは活動内容として、「セキュリティインシデントの発生および被害拡大の抑止」「サイバーセキュリティ施策の企画・立案および支援」「サイバーセキュリティ人材の育成施策の企画・立案および支援」「体制整備の支援」「外部連携」を掲げています。米国では2016年にAuto-ISACが設立されましたが、J-Auto-ISACを設立するにあたり、米国のAuto-ISACを参考にしたのでしょうか。

中島：
ISAC(Information Sharing and Analysis Center)という概念は米国発祥です。米国のAuto-ISACには米国の自動車メーカーだけではなく、米国で自動車を販売している日韓欧の自動車メーカーやサプライヤーも加盟しています。実は、米国のAuto-ISACからは、「わざわざ日本でAuto-ISACを設立する必要はないのでは」という声も聞きました。しかし、米国では販売していない自動車メーカーや日本国内限定車種もあります。軽自動車がその一例です。またインシデント対応はスピード勝負ですから、米国との時差は致命的です。そこで日本独自のAuto-ISACを設立したのです。

MaaS事業者にもサイバーセキュリティ意識は不可欠

丸山：
車両サイバーセキュリティは、外部環境のほうが先行して取り組んでいる印象を持ちます。たとえば、2020年6月に開催された国連の自動車基準調和世界フォーラム（WP29）会議では、「サイバーセキュリティ及びソフトウェアアップデートの国際基準（UN規則）」が成立しました^*1。同規則は車両の「型式認可」を受ける際に、自動車メーカーがサイバーセキュリティ体制や仕組みを整備し、認証されたプロセスに沿って車両が開発・生産されているか、業務管理システム（Cyber Security Management System：CSMS）を構築しているか、また車両に搭載されたECU(Electronic Control UNIT)のソフトウェアを安全にアップデートするために必要な環境を構築しているかを確認するものです^*2。

中島：
日本ではUN規則を踏まえて、2022年7月以降に新たに発売され、外部との通信でソフトウェアアップデートができる車両に対しては、サイバーセキュリティとソフトウェアアップデートの法規の双方が適用されます。つまり、該当する自動車メーカーやサプライヤーにとっては、厳しい対応が迫られています。

丸山：
PwCが2021年6月に実施した「WP29 サイバーセキュリティ法規―CSMS対応の実態調査」によると、完成車メーカーの80％はCSMS対応に着手していました。しかし、サプライヤーで対応しているのは49％でした^*3。

中島：
UN規則への対応に関する啓発活動も、J-Auto-ISACで実施したいと考えています。UN規則は車載システムに搭載するソフトウェアの全てのサプライヤーにも関係します。しかし、ご指摘の通りソフトウェアのサプライヤーでCSMSの対応が完了している会社は少ないでしょう。それどころか、サプライチェーン全体を見渡せばWP29の議論自体を知らない会社も少なくないようです。

丸山：
自動運転自動車やコネクテッドカーが普及すれば、これまで自動車産業と縁のなかった企業も関わるようになります。そうした企業に対する啓発活動もJ-Auto-ISACは実施していくのでしょうか。

中島：
はい。特にMaaS（Mobility as a Service）に参入する事業者にはサイバーセキュリティの重要性をよく理解してもらわなければいけません。たとえば、コネクテッドカーをシェアする場合には、MaaS事業者もUN規則に準拠する必要があります。

さらに今後はベンチャー企業が手掛ける「空飛ぶ車」も登場してきます。すでに日本やドイツでは実用化に向けた最終段階に入っており、販売価格も公開されています。こうした企業にも自動車業界の「セーフティ（安全性）」に対する考え方を理解してもらわなければなりません。

丸山：
車載システムと一般的なITシステムの脆弱性で決定的に異なるのは、「ハッキングされたら人命にかかわる」ことです。ITシステムもダウンすることはありますが、ソフトウェア開発に携わる担当者は「ソフトウェアの脆弱性が人の命に関わる」とは考えていませんよね。

中島：
車載システムでもオーディオやビデオなどのエンターテインメントを提供する「車載インフォテインメント」と、「走る・曲がる・止まる」という車両の走行機能を司る車載ECU（Engine Control Unit）を制御するソフトウェアでは安全性に対する要求レベルが全く異なります。

自動車エンジニアは「安全第一」が叩き込まれているので、セーフティに対する意識が高く、自動車業界の人に「自動車の安全性にとって車両サイバーセキュリティは大切です」と伝えれば、その重要性を理解してもらえます。しかし、他業界からの新規参入者には、丁寧な説明が必要だと思われます。