各国サイバーセキュリティ法令・政策動向シリーズ (3)シンガポール
各国サイバーセキュリティ法令・政策動向シリーズの第3回目として、シンガポールのデジタル戦略やサイバーセキュリティへの取り組みについて、最新情報を解説します。
VDA ISAの改訂版がリリース
TISAX(Trusted Information Security Assessment eXchange)はドイツの自動車業界において広く採用されているセキュリティ評価の仕組みであり、自動車会社は取引先となるサプライヤーやサービスプロバイダーに対し、自社の情報を扱う際のセキュリティ管理態勢について、TISAX認証の取得を求めています。この認証を取得するには認定審査機関による審査を受ける必要があります。
TISAX認証を取得する会社は認証を取得する準備段階として、自動車会社などの顧客からの審査目的に応じてVDA ISAを用いて自己評価を実施する必要があり、認定審査機関はこの自己評価結果に基づいて審査を行います。
VDA ISAとはドイツ自動車工業会(VDA)がISO27001に基づいて策定したVDA情報セキュリティ評価基準で、情報セキュリティ、試作品保護、データ保護に関する要求事項の3区分で構成されています。
このVDA ISAは、自動車業界における情報の取り扱いやサイバーセキュリティに関わる状況を踏まえて大幅に改訂され、2023年10月にリリースされました。
本稿では、VDA ISA Version 6.0.1の改訂ポイントについて解説します。
TISAXラベルは「機密性」と「可用性」に分割
図表1で示すように、現在のInfo Highラベルは、「Confidential(機密)」と「High Availability(高可用性)」に分割され、Info Very Highは、「Strictly Confidential(極秘)」と「Very High Availability(非常に高い可用性)」に分割されます。
TISAXラベルごとの目標設定は次のとおりです。
- 「Confidential」ラベルは、全ての基本要件*1と(C)マークが付いたhigh要件を遵守
- 「High Availability」ラベルは、全ての基本要件と(A)マークが付いたhigh要件を遵守
- 「Strictly Confidential」ラベルは、全ての基本要件と(C)マークが付いたvery high要件を遵守
- 「Very High Availability」ラベルは、全ての基本要件と(A)マークが付いたvery high要件を遵守
情報セキュリティに関する6つのコントロールが新規追加
VDA ISA 6では、1.3「資産管理」に1.3.4「ソフトウェアの管理」が追加され、これまで情報資産を処理するITシステムやITサービスに限定されていた対象領域に、OTシステム*2が含まれるようになりました。
1.6「インシデント管理」は「インシデントおよび危機管理」に名称変更され、1.6.1「セキュリティイベントのレポート」、1.6.2「セキュリティイベントの管理」、1.6.3「危機的状況への対応 コントロール」が追加されました。また、セキュリティイベントの監視やITBCPに対する要求事項がより詳細化されています。
5.2「運用セキュリティ」では、5.2.8「ITサービス継続計画」、5.2.9「バックアップと復元」が追加されました。ITサービス継続のための戦略やバックアップなどの要求事項が追加され、より可用性を考慮した内容となっています。
VDA ISA 6では、レジリエンスの要件が大幅に追加
VDA ISA 6の1.6.1、1.6.2、1.6.3、5.2.8、5.2.9では、サイバー攻撃による影響を最小限に抑え、効果的かつタイムリーな回復を確保することに焦点を当て、インシデントやIT-BCP対応時の検知・応答・回復に関する要件が追加されました。
特に5.2.9では、バックアップと復元に関する要件が追加され、ITシステムおよびサービスへの攻撃に対し、組織が最大限のレジリエンシーを備えるよう要求しています。
また、1.3.4、5.2.6、5.3.1 のVery high要件では、ソフトウェアの安全な管理のため、監視と脆弱性テストおよび侵入テストの実施が追加されています。
VDA ISA 6への移行対応
新しい「Confidential」「Strictly Confidential」ラベルは、古い「Info High」「Info Very High」ラベルと実質的に同じであるため、現在のラベルを継続して利用可能です(今のところラベル名の変更はありません)。
また、すでに「Info High」ラベルを持っている場合は、自動的に「High Availability」ラベルが割り当てられ、「Info Very High」ラベルを持っている場合は、自動的に「Very High Availability」ラベルが割り当てられます。
そのため、すでにTISAX認証を取得されている場合は、VDA ISA 6のリリースに伴う追加の評価作業は不要*3です。
2024年4月1日より前にTISAX認証を取得/再取得する場合は、古いラベルとISA5.1での評価手続きとなります。
2024年4月1日以降にTISAX認証を取得/再取得する場合は、新たなラベルおよびISA6による評価手続きが必要となります。
TISAX認証取得にはある程度の準備期間が必要
これからTISAX認証を取得/再取得する企業は、今すぐにでも対応を始める必要があります。
TISAX審査では各要求事項に対してルールが文書化できているか、ルールどおり運用されているかという観点で審査が行われるため、ルールや運用の証跡となるドキュメントを用意する必要があり、ある程度の準備期間を要します。
VDA ISA 6で改訂・新規追加された要求事項のうち、特にインシデント対応やITBCP、バックアップと復元については、定期的な訓練を実施し、定めたルールの有効性を検証することが求められているためです。また、今回の改定によりOT領域にも適用範囲が拡張したため、OT領域への対策が十分に実施できていない場合は、ルール化や運用の実施に時間を要することが想定されます。
PwCが支援できること
PwCでは、VDA ISAを用いたGAP分析やTISAX要求事項に対して不足するセキュリティ対策の検討支援、審査を想定したリハーサルや現地調査の実施など、TISAX認証取得までの一連の活動のサポートが可能です。
※1:基本要件とは、must、should要件を指す。
※2:工場やビルなどの物理的設備を制御、運用するシステム(Operational Technology)
※3:TISAXラベルの有効期限3年間に限る
インサイト/ニュース
20 results
Loading...
金融セクターに求められるセキュリティ規制対応―DORAとNIS2指令の関係
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
2025年 Cyber IQ調査 ―生成AIの台頭とデジタル国境の形成に伴うサイバーリスクに企業はどう対応すべきか―
デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。
各国サイバーセキュリティ法令・政策動向シリーズ (2)インド
各国サイバーセキュリティ法令・政策動向シリーズの第2回目として、インド政府のデジタル戦略と組織体制、セキュリティにかかわる法律および規則とその動向などについて最新情報を解説します。
Loading...
