望ましいサイバーセキュリティの未来（自動車業界編）

（B）実用性重視の最低限の機能を備えた低価格SDV

ビジネス戦略：

実用性重視の最低限の機能を備えた低価格SDVは、主にグローバルサウスを含む新興国で展開する戦略です。この戦略では、低コストの半導体を活用したドメイン型アーキテクチャを採用し、コストを抑えながらも高度な機能を提供することを目指しています。最低限の販売価格を実現するためのコスト削減策を講じ、手頃な価格での提供を可能にすることで、グローバルサウス市場での競争力を高めます。

現在、グローバルサウスでは人口ボーナスにより、若年層を中心としたボリュームゾーン世代の数が急速に拡大しています。このため、インフォテインメントと先進運転支援システム（ADAS）に焦点を当てたSDVを通じて、新興市場での存在感を強化し、将来的な成長の基盤を築くことが期待されています。

サイバー脅威：

グローバルサウスの市場開拓においては、目新しいサイバー脅威は特に想定されませんが、近年、途上国におけるサイバーリスクが関心を集めており、そのことを念頭に置いて備える必要があります^※6。具体的には、デジタル機器の設定ミスや誤操作によるインシデントの発生、脆弱性を放置し続けることで生じる不正アクセス被害等が想定されます。

また、グローバルサウス市場に進出する際には、進出する国や地域ごとに異なる法規制に準拠することが求められます。特に、自動車業界においては、車両のサイバーセキュリティ、AI、プライバシーに関する法規制が重要な課題となります。自動車OEMメーカーやサプライヤーは、各国・地域の異なる法規制に対応しなければならず、これに伴うコンプライアンス対応コストが増加する傾向にあります。

さらに、「データローカライゼーション」と「DFFT（Data Free Flow with Trust）」の二極化にも注目が必要です。各国や地域が自国のデータ主権を重視する動き、すなわちデータローカライゼーションを進める一方で、グローバルな経済成長を目指すデータ流通の推進（DFFT）も行われています。データローカライゼーションの例として、インドの2023年デジタル個人データ保護法^※7では、個人データの国外移転を全面的に禁止していないものの、中央政府が特定の国や地域への移転を制限できる仕組みを導入しています。この法律により、データをインド国内に保存する必要性が生じるため、企業にとってはデータ保存に関するコストが増加します。また、データの利活用においても制約が生じる可能性があり、グローバルなデータ運用における障壁となり得ます。

望ましいサイバーセキュリティの未来：

グローバルサウス市場でのサイバーセキュリティ対策は、基本的に「（A）機能性とカスタマイズ性を適時提供可能なSDV」で示した施策の延長線で検討することができます。加えて、海外現地法人やサプライヤーのリテラシーや文化を考慮し、グローバルガバナンスを強化することが求められます。具体的には、現地法人にCISO（最高情報セキュリティ責任者）やBISO（ビジネス情報セキュリティ責任者）を設置し、ビジネスを理解しながらセキュリティ対策を推進することが望ましいです。そして、国際的なベストプラクティスに従い、認証強化、多層防御、脆弱性管理、異常検知の対策を行い、リアルタイムにセキュリティ状況を監視し対応できる体制を構築することが重要です。

自社のグローバルガバナンス強化だけでは、根本的なサイバーセキュリティのリソース不足を解決できません。進出する国や地域における法規制に準拠し、国際政治の動向に応じて自社の戦略を常に見直す必要があるためです。一企業の対策ではなく、社会全体の視点でみた望ましいサイバーセキュリティの未来を以下に示します。

• 国連機関WP29が策定した国際標準「UNR155」、「UNR156」といった車両サイバーセキュリティ標準だけではなく、IoTセキュリティやAI、プライバシー保護に関する理念が国連で国際的に承認される。この理念に基づき、各国・地域が法規制を整備し、協調的な体制が整備されている
• 欧州の自動車情報セキュリティ審査基準「TISAX」をはじめとする認証制度でも相互認証が推進され、企業は一度認証を取得するだけで、他の国・地域でのビジネスが可能になっている
• EV充電インフラセキュリティ「NIST IR 8473」等の国際的なベストプラクティスが知見としてグローバルに展開され、全てのサプライヤーが一定基準以上のセキュリティ対策を実装できている

（D）自家用車を超えて、遊休車両の活用や社会課題解決に資するSDV

ビジネス戦略：

社会課題解決に資するSDV戦略とは、都市や過疎地の社会課題の解決を目指す取り組みです。自動車業界が政府や自治体と連携し、車両販売に依存せず、総合的なモビリティサービスで収益化を目指す戦略です。

世界の主要都市では、都市部への人口過密化が今後さらに進むことで、道路の渋滞、公共交通の遅延等が慢性化する懸念があります。自動運転バスを普及させることに加え、普段使っていない個人所有の自家用車をロボタクシーとして活用することで、都市のモビリティを改善する取り組みを推進する必要があります。

一方、地方においては、過疎化が進む地域の移動手段の確保や物流に関する課題が顕在化することが予想されます。日本では、地方の若年女性人口が減少するため自治体の4割が最終的には消滅する可能性があるとした分析が公表されました^※8。運送会社は地方へ荷物を届けることが採算的に難しくなるため、一部の県では中長期的に荷物が運べなくなる事態が生じる可能性があります。このような課題を解決するためには、自動運転トラックを普及させ、ドライバーに依存せずに長距離の輸送を行うことが必要です。また、地域内の移動や物流の確保のために、小型の自度運転車両や配送ドローンの導入も推進する必要があります。

これらのモビリティサービスは、自動車業界だけでは実現が難しいため、政府や自治体と連携してモビリティ最適化のための交通運行管理システムを構築し、長期間運用していくことが求められます。

サイバー脅威：

社会課題解決に直結したSDV戦略を推進すると、サイバー攻撃被害が物理的な被害に直結しやすくなります。特に懸念されるサイバー脅威は、交通運行管理システムへのサイバー攻撃です。交通運行管理システムは、主に交通トラフィックを常時モニタリングし、自動運転車両に渋滞を解消するようルート指示を出すものです。このシステムが大規模なサイバー攻撃を受けシステムが停止すると、市民生活やビジネス活動が長期間にわたり麻痺する可能性があります。

また、運行データの盗難や改ざんも懸念されます。モビリティサービスに関連するデータには、位置情報、運行履歴等が含まれており、これらが悪意ある第三者に渡ると、犯罪に利用される可能性があります。さらには、これらのデータが改ざんされた場合、サービスの信頼性が損なわれるだけでなく、交通事故やトラブルの被害が発生することも考えられます。

国家の関与が疑われるサイバー攻撃にも注意が必要です。国家主体のサイバー攻撃者が都市のモビリティサービスに破壊的なダメージを与えた場合、その影響は大規模災害に匹敵します。国家が支援するサイバー攻撃者は、非常に高度なサイバー攻撃手法を用いるため、完全に防ぐことは難しいです。したがって、インシデントの早期発見と被害の最小化に取り組むことが重要です。

望ましいサイバーセキュリティの未来：

モビリティサービスで解決すべき社会課題に取り組むためには、一企業の努力だけでは難しく、複数の事業者と自治体が互いにサイバーセキュリティを向上させる「共助」の取り組みを推進する必要があります。共助の視点での望ましいサイバーセキュリティの未来を以下に示します。

• サイバー空間と物理空間が密接に接続することを前提に、官民が協力する仕組みを構築しつつ、責任分界点を明確にしている
• 地域ごとにフュージョンセンターを構築することで、サイバーセキュリティだけでなく、防犯や物理セキュリティ、交通運行管理などの監視機能を一カ所に集約させ、地域の安全・安心を包括的にモニタリングしている
• インシデントが発生した場合には、バックアップや代替手段に速やかに切り替えるオペレーショナルレジリエンスが構築されており、定期的に官民が連携したサイバーフィジカル減災演習を実施している
• 顧客や住民のモビリティ関連データの利活用が、地域のセキュリティ向上につながっていることについて啓発が行われており、一般市民のアウェアネスが高まっている

今まで示した日本の自動車産業の取り組み領域ごとの「望ましいサイバーセキュリティの未来」を以下の図表2に示します。

図表2：望ましい未来のための “ドライバー”

※1 国連「世界人口推計 2024年版」（2025年1月31日閲覧）

※2 Research and Markets, 2024. “Future of Automotive Industry: Covers Original Equipment Manufacturer (OEM) Landscape, Connected Vehicles, Autonomous Driving Technologies, Electric Vehicles (EVs), Innovations in Battery Technology, Powertrains and Shared Mobility - Forecast 2030” Accessed January 31, 2025. 

※3 PwC, 「デジタル自動車レポート2023」（2025年1月31日閲覧）

※4 経済産業省, 2020.「第3回 モビリティの構造変化と2030年以降に向けた自動車政策の方向性に関する検討会：資料3」（2025年1月31日閲覧）

※5 日経クロステック, 2024.「現行暗号の使用期限が迫る「2030年問題」、移行先が一長一短で決まらない」（2025年1月31日閲覧）

※6 JICA, 2023.「【G7特集・3】途上国のサイバーリスクが世界全体の脅威に」（2025年1月31日閲覧）

※7 Indian Kanoon, “Section 16 in THE DIGITAL PERSONAL DATA PROTECTION ACT, 2023” Accessed February 19, 2025.

※8 一般社団法人北海道総合研究調査会, 2024.「令和6年・地方自治体「持続可能性」分析レポート ―新たな地域別将来推計人口から分かる自治体の実情と課題― 」（2025年1月31日閲覧）