{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
TISAXのセキュリティ基準となるVDA ISAの改訂について
2020-09-28
ドイツの自動車会社(以下「OEM」)は、取引先となるサプライヤーやサービスプロバイダーに対し、自社の情報を扱う際のセキュリティ管理態勢について、TISAX(Trusted Information Security Assessment eXchange)の認証を取得することを求めています。この認証を取得するには認定審査機関による審査の受審が必要です。
認証取得の準備段階として、まずはドイツ自動車工業会(VDA)がISO27001に基づいて策定したVDA情報セキュリティ評価基準(以下「VDA ISA」)を用いた自己評価を実施する必要があります。認定審査機関はこの自己評価結果を用いて審査を行います。
2020年8月、VDA ISAがVersion 4.1.1(以下「旧版」)からVersion 5.0.1(以下「新版」※)へとほぼ1年ぶりに改訂されました。本コラムでは、この改訂ポイントについて解説します。
※本コラムで取り上げる内容は基本的にVersion 4.1.1からVersion 5.0.0への改訂内容となりますが、成熟度を算出する表計算ロジックの不具合修正という形式面の更新に伴いVersion 5.0.0からVersion 5.0.1へのアップデートが行われていることを受け、本コラムでは新版はVersion 5.0.1と表記しています。
なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点を予めお断りしておきます。
フォーマットの変更
旧版では、各質問事項について、【目的】(Objective)と【要求事項】(Requirements)が個別に記載されていました。新版では、これらが表計算ソフト上で1行になるように分かりやすくフォーマットが変更されています。これに伴い【要求事項】の項番も見直されており、旧版とは異なる番号体系になっている点には注意が必要です。【要求事項】については、これまでまとめて記載されていた【必須】(must)、【推奨】(should)という区分が、個別の列に分けて記載されています。このため、フィルタ機能を用いて必要な項目のみを閲覧する、または内容を別のアプリケーションにエクスポートするなど、表計算ソフトの機能を生かして、内容を効率的に確認することが可能となっています。
また、各【要求事項】に対して、想定される保護の目的と、当該コントロールに責任を有すると考えられる責任主体が新しく追加されています。保護の目的は、情報セキュリティで一般的に用いられる要素である機密性(confidentiality)、完全性(integrity)、可用性(availability)となり、その【要求事項】に対するコントロールの性質が識別できるようになっています。責任主体に関わる情報は、自己評価に際して確認を行うにあたり、誰を対象とすべきかを検討する際の参考として用いることが可能です。
さらに、【補足情報】(Further information)と、要求レベルに応じた【コントロールの例示】(Support example)も追記されています。
なお、旧版では【要求事項】というタイトルで記載されていた質問事項ですが、新版では【コントロールに関わる質問】(Control question)となっており、【要求事項】が求めるものは会社が整備しているコントロール(内部統制)であることを示唆していると考えられます。
Information Security/Connection to 3rd partiesモジュールの構成変更
今回の改訂の最も大きな変更点は、Information Securityモジュールの変更です。旧版では52件存在した【要求事項】が新版では41件に削減されています。ただし、これは【要求事項】が単に削減されたわけではなく、旧版の内容を見直し、再構成した結果によるものです。また、旧版にあったシステム導入、開発、保守に関わる2件の【要求事項】(14.2/14.3)が1件の項目(5.3.1)に統合されるなど、【要求事項】の統合も行われています。この構成変更によって、仮にタイトルが旧版と類似していても、内容が変更されているものもあるため、注意が必要です。
また、旧版では独立したモジュールとして存在したConnection to 3rd partiesが、新版では削除されています。これは、TISAXのアセスメント目的から【Connection to 3rd parties with high protection needs】および【Connection to 3rd parties with very high protection needs】の項目が削除されたためです。
加えて、旧版のConnection to 3rd partiesモジュールにあった人的セキュリティやアクセス制御、物理セキュリティ、通信におけるセキュリティの要求事項は、Information Securityモジュールに統合されています。
VDA ISAには旧版・新版のマッピングが含まれていますが、以上のように【要求事項】などの内容が変更されているものがあります。このため、すでに旧版を用いて自己評価を進めている場合でも、新版への対応に際しては、その変更点を確実に取り込む必要があります。
達成すべき成熟度の見直し
旧版では、【要求事項】において達成すべき成熟度はほぼ「レベル3」が占めており、Information Securityモジュールでは、一部に「レベル2」と「レベル4」がありました。
新版では、これらの差異を解消するため、全ての【要求事項】において達成すべき成熟度が「レベル3」に統一されています。
【要求事項】の新規追加
新版では、以下の3件が新しい【要求事項】として追加されています。
2.1.1 従業者の資格要件(Qualification of employees)
2.1.4 テレワーキング(Teleworking)
4.1.1 認証手段の取り扱い(Handling of identification means)
従業者の資格要件(2.1.1)は、保有資格ではなく、業務に就くにあたり当該人物の能力や人物確認などが行われているかを確認するためのものです。これには、欧米の基準などで多く取り入れられている、従業員のバックグラウンドチェックも含まれています。
テレワーキング(2.1.4)については、昨今の新型コロナウイルス感染症におけるテレワークの増加を受けて追加されたものと推察されます。社内のセキュアな領域の外部において業務を実施する場合のリスクへの対応として、社内へのリモートアクセスにおいて考慮すべき安全管理策が挙げられています。
認証手段(4.1.1)は、鍵や社員証などの物理的な認証ツール、または暗号化されたトークンなどの論理的な認証ツールにおける発行や返却、破棄、紛失時の対応などの取り扱い手続きに関わるものです。
なお、旧版のInformation Securityモジュール(12.9)における、クラウドサービスの利用に関わる【要求事項】は削除されていますが、この要件は対象外となるわけではありません。審査対象となるOEMの情報を利用・管理している場合、クラウドサービスの利用有無にかかわらず、【要求事項】を用いた自己評価は必要です。
旧版の適用期間
新版が公開されたことで、2020年10月以降に審査を受審する場合は、原則、自己評価においても新版を用いる必要があります。ただし、現在旧版を用いて審査を実施中の場合は、そのまま旧版を用いることが可能です(2021年3月31日まで)。
旧版を用いて自己評価を実施しており、これから審査を受審する場合は、上記のような差分への対応が必要となります。特に、新規に追加された【要求事項】については、自社がどのような対応を行っているのかを確認し、その対応が【要求事項】を満たしていない場合は、適切な手続きを整備する必要があります。
VDA ISA 5.0.1は、こちらからダウンロード可能です。旧版のVDA ISAも掲載されています。
German Association of the Automotive Industry (VDA)[English]
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
