PwC『2022年グローバル自動車サイバーセキュリティマネジメントシステム(CSMS)調査』今こそアクセルを踏み込むとき――

自動車サイバーセキュリティへの道のりを駆けていくために

担当PwC専門家

Joachim Mohs ist Ihr Experte für Cyber-Sicherheit bei PwC Deutschland

Joachim Mohs
Partner and Global Industrial Manufacturing & Automotive Cyber Security & Privacy Lead at PwC Germany
Tel: +49 40 6378-1838
E-Mail

コネクテッドカーのエコシステムは拡大の一途にあり、それに伴いサイバー脅威の攻撃対象も広がっています。

現在、自動車業界は激動期を迎えています。新たな運転方法と車両コネクティビティの向上は、OEMやサプライヤーに新たなビジネスモデルをもたらしています。OEMやサードパーティプロバイダーによる数々の新たなデジタル機能やサービス提供に伴い、自動車は単なる移動手段から、生活・仕事空間へと進化しつつあるのです。

こうした変化は、車両のエコシステムにも多大な影響をもたらします。このエコシステムのセキュリティと機能性を確保し、積極的に管理することが、全てのユーザーの健康・安心を守り、OEMの業績向上にもつながるのです。例えば、DoS攻撃によって自動車線維持補助装置が妨害された場合、乗員だけでなく、非コネクテッドカーや、歩行者、その他の道路利用者にも危険をもたらします。

こうした状況により、自動車業界は、レジリエントなサイバーセキュリティマネジメントシステム(CSMS)を用いてリスクを最小化するよう強く求められています。PwCは、『2022年グローバル自動車CSMS調査』において、OEMやサプライヤーがこれらのシステムをどの程度実装しているのか、今後さらにどのような取り組みを行っていく必要があるのかについて調査しました。

調査の結果、得られた重要な知見は以下のとおりです。まず成熟度に関しては、CSMSプロジェクトごとにかなりのばらつきがあります。CSMS実装までの期間は平均30カ月に及ぶことを考えると、行動へのプレッシャーも高まっています。実装が十分に進んでいない企業は、契約上・法的義務に対応すべく、早急な行動を迫られています。CSMSは今後、デジタルエコシステムのバリューチェーン全体を保護するとともに、業務コストに大きな影響をもたらし、コンプライアンスの確保にもつながるものであるため、自動車業界にとってビジネスの命運を左右する課題として急速に浮上しつつあります。

しかし、CSMSはデジタルトランスフォーメーション(DX)の成功に向けた道のりの一里塚に過ぎないことも確かです。自動車業界の企業は、自社のサイバー取り組みをよりネットワーク化し、サイバーセキュリティを企業運営の中核に組み込み、サイバーリスクマネジメントを企業のリスクマネジメントと統合する必要があります。DX戦略は、純粋な規制対応プロジェクトにおいても指針としていかなければなりません。

「CSMSは、コネクテッドカーを守る土台となるものです。乗員の安全を確保するだけでなく、OEMのデジタルエコシステムをターゲットにした攻撃のリスクも低減できます」

Joachim Mohs,Partner and Cyber Security Expert at PwC Germany

調査概要

自動車業界全体の実装状況を把握するため、同業界のさまざまな分野における代表者にインタビューを行いました。対象者には、OEMやサプライヤーの専門家だけでなく、実績ある市場専門家が含まれます。回答者全員が、コネクテッドカーと自動車エコシステム全体に対するサイバー攻撃は増加する、と答えました。欧州経済委員会(UNECE)は最近、こうした展開に対応し、独自の規制(国連規則155号)を設けました。OEMに対して、保有する車両のサイバーセキュリティを監視・管理するためにフル機能の監査済みCSMSの実装を義務付けています。2022年7月以降、新型車種を登録するためには、監査済みCSMSを国の登録機関に提示しなければなりません。そして2024年7月以降は、新型車の生産に監査済みCSMS提出が義務付けられます。こうした取り組みが新型車両の安全性を長期的に保証するために必要な措置であることは、ほぼ全ての調査参加者が同意しています。

CSMSの実装――細部に潜む落とし穴

OEMの代表者全員がCSMSを実装済みと答えましたが、回答者の大部分がまだ本格的な運用に至っていません。しかし、回答者の約3分の2が、すでに監査サービス組織によるCSMS設計の監査を受けていました。国連規則155号のような規則の影響を直接被るのはOEMですが、個々の部品の安全性に関するOEMの影響力は限られています。OEMの75%が、契約上の仕様というかたちで、こうした部品をサプライヤーに外注しているからです。これを裏付けるように、多くのサプライヤーが、顧客からCSMSに関する契約上の要件を提示されている、と回答しています。サプライヤーにとって、CSMSの実装が競争上の優位性になることは明らかであるものの、初期フェーズを完了したのは平均59%と、未だOEM(71%)に遅れをとっている状態です。特に国際市場では統一規格がないため、企業は頭を悩ませています。

CSMS要件の実装に向けた貴社の/貴社サプライヤーのプロジェクトの進捗状況を教えてください (完了度(%))。

今後、OEMとサプライヤー双方が、セキュリティマネジメントシステムの成熟度と統合度を高めるべく一層の努力を重ねなければならないことは明らかです。基本となるのはユーザーのセキュリティ確保ですが、コネクテッドカーを取り巻くデジタルエコシステム全体についても、攻撃から防御する必要性が高まっていくでしょう。OEMが確固たる一歩を踏み出すための新たなビジネスモデル開発を促進するのは、やはりこれらのサービスなのです。

最も重要な知見

ビジネスの命運を左右するセキュリティ

多くのグローバル市場において、OEMが適切なCSMSを実証できなければ新型車種を登録できなくなる恐れがあります。

行動に向けた提言

規制を見越した対応

CSMSプロジェクトの実施が長期間に及ぶことを考えると、OEMおよびサプライチェーン企業は、今後の指令に備えるためにも、直ちに行動を開始すべきです。そのためには、法的要件を検討し、契約の含意を十分に把握することが必要となります。

事業戦略に沿ったDX

規制対応プロジェクトは、常に事業変革戦略に沿って進めるべきです。規制要件を総合的に考え、純粋なビジネスモチベーションと組み合わせた企業だけがDXを巡る競争に勝利できるのです。

シナジーの活用

厳しいコスト的・時間的制約があることを踏まえ、企業は既存のマネジメントシステムの仕組みを上手く活用してCSMSを設計・実装すべきです。標準化されたツールとプロセスを用いることで、複雑さを大幅に軽減することが可能です。

成熟度の向上

リスクを早期に特定するために、CSMSの成熟度を常に評価し、その結果を経営層や関連ビジネスパートナーを含むステークホルダーに詳らかにして、開発プロセスへの意見を求めるべきです。

実用性試験システム

システムの運用が効果的かつリソースの効率的活用が可能か検証するために、企業はCSMSの開発後に大規模なトライアルを行うべきです。

ソフトウェアを最優先

OEMとサプライヤーのソフトウェアをセキュアに統合するために、OEMは、ソフトウェアアーキテクチャ要件を明確に定め、それを自社のバリューチェーンに組み入れるべきです。

「自動車OEMは今や、機械メーカーと並び、『ソフトウェアメーカー』あるいはネットワーク接続されたエンドデバイスの『プロバイダー』となりつつあります。したがって、高いサイバーセキュリティ成熟度が、明確な競争上の優位性を生み出すのです」

Harald Wimmer,Partner and Global Automotive Leader at PwC Germany

調査方法

PwC『2022年グローバル自動車サイバーセキュリティマネジメントシステム(CSMS)調査』では、主に製品セキュリティ、研究開発、品質保証、情報セキュリティを担当する自動車OEM、サプライヤーおよび市場専門家の代表者にインタビューを行いました。インタビューは、2022年3月から4月にかけて、60分間のオンラインアンケート形式で実施しました。回答者の39%がOEM、35%がサプライヤー、残りの26%が市場専門家でした。回答者の大部分が管理職レベル(78%)で、専門家レベルが13%、一般社員レベルが9%でした。回答者の拠点は、11カ国(オーストリア、チェコ、フィンランド、フランス、ドイツ、イタリア、日本、韓国、スウェーデン、英国、米国)に及びます。全ての調査結果は匿名化し、図表で用いるために数値を四捨五入しています。

※本コンテンツは、PwC's Global Automotive Cyber Security Management System (CSMS) Survey 2022を翻訳したものです。翻訳には正確を期しておりますが、英語版と解釈の相違がある場合は、英語版に依拠してください。

主要メンバー

林 和洋

パートナー, PwCコンサルティング合同会社

Email

奥山 謙

ディレクター, PwCコンサルティング合同会社

Email

村上 純一

パートナー, PwCコンサルティング合同会社

Email

亀井 啓

シニアマネージャー, PwCコンサルティング合同会社

Email

WP29 CSMS対応ツール活用メリットを2分で解説

自動車に関する国際法規であるWP29 UNR155に適合するため、車両OEMとサプライヤーは、適切なサイバーセキュリティ要件を導出し、それを満たす製品を開発することが求められています。PwCが提供する「WP29 Cyber Security Management System(CSMS)支援プラットフォーム」は、セキュアな製品開発において最も重要である脅威分析を効率的に実施するためのウェブツールであり、脅威や攻撃に関する最新の情報を提供します。

詳細はこちら

1:57
Video Player is loading.
Current Time 0:00
Loaded: 0.00%
Duration 0:00

Playback of this video is not currently available

車両サイバーセキュリティの未来

車両のデジタル革命によって、次世代のモビリティ社会が形作られる一方で、各国の政策や規制により変化の速度が決定されている面があります。その要因の一つがサイバーセキュリティへの懸念です。
車両サイバーセキュリティに関する国際規格や製品ライフサイクルにおける重要論点の解説やクライアントとの対談を通じ、車両サイバーセキュリティの将来をひもときます。

詳細はこちら

車両サイバー セキュリティの未来

インサイト/ニュース

20 results
Loading...

サプライチェーン・デジタルリスク実態調査:サプライチェーンを脅かすデジタルリスクに企業はどう立ち向かうべきか

サイバー攻撃の増加により、企業はサプライチェーン全体のセキュリティ対策を強化する必要に迫られています。本稿では、サプライチェーンのデジタルリスクとその対策について、経営層80名、セキュリティ部門200名を対象とした実態調査結果をもとに解説します。

『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応 【第3回】運用基準を踏まえた企業対応の在り方

2025年5月17日までに施行される経済安全保障分野におけるセキュリティ・クリアランス制度に関して、特に影響があると見込まれる事業者や事業者の担当者において必要となる対応を、2025年1月31日に閣議決定された運用基準を踏まえて解説します。

CxOプレイブック:サイバーセキュリティレジリエンスにおけるギャップの解消 「Global Digital Trust Insights 2025」調査結果より

AIやクラウド技術の進歩に伴いアタックサーフェスの拡大が続き、規制環境も常に変化しています。PwCが77カ国のCxOを対象に実施した本調査によると、サイバーセキュリティレジリエンスを構築するにあたり、企業には解消すべきギャップがあることが分かりました。

Loading...