TISAX認証取得支援サービス（Trusted Information Security Assessment Exchange）

自動車会社がセキュリティリスクに備える背景

世界の一大産業である自動車業界は、自動車エコシステムにおいて広範かつ複雑なサプライチェーンを有しており、この中でさまざまな情報システムやデータを扱っています。万が一、サプライヤー、ディーラー、あるいは自動車会社にサービスを提供しているベンダーなどでデータ漏えいなどのセキュリティインシデントが発生した場合、これがサプライチェーン全体に重大な影響を及ぼす可能性があります。このような状況において、日々高まりつつあるセキュリティリスクに対して、取引先企業がセキュリティ対応を講じているかどうかは、自動車会社にとって重要な確認事項になっています。

このような状況の中、ドイツ自動車工業会（VDA）は、会員企業における情報セキュリティの保護水準を引き上げるために、国際基準ISO 2700xの要件達成を要求しています。その中で、VDAは、達成すべき基準となるVDA情報セキュリティ評価基準（以下「VDA ISA」）を策定しました。2017年にはENX（European Network Exchange）と協力し、TISAX（Trusted Information Security Assessment Exchange）を確立しました。

TISAXは、ドイツの自動車業界において広く採用されるセキュリティ評価の仕組みであり、自動車会社は取引先に対して、この基準に基づいて外部の審査機関による監査を受けることを求めています。この審査認証結果は、ENXの情報交換ネットワーク上に登録、公開されます。このため、サプライヤーが各自動車会社から個別にセキュリティ管理状況に関する問い合わせを受け、対応する労力を減らせるようになりました。

TISAXの認証ステップ

VDAはENXと提携して、資格認定要件を満たす審査機関（※）を指定し、監査人の権限を付与しています。これらの審査機関が、TISAXの認証を受けたい企業に対して審査を行い、基準を満たす場合にTISAX認証の報告書を発行しています。

（※）2020年10月時点で、審査機関は11社

TISAXの評価は以下の4ステップにて実施します。

1. 評価準備
   企業は、VDA ISAに従い、会社の現行の情報セキュリティと情報システム管理制度の成熟度を精査（自己評価）し、TISAX認証事前準備作業を行う。
   
2. 監査範囲の検討および審査機関の選定
   自動車会社の要求に基づいて、認証が必要な範囲とアセスメントレベルをENX Portalサイトに登録する。登録完了後、ENXから「TISAX Scope Excerpt」ファイルが返送されるので、これを審査機関に提示して見積もりと提案を依頼し、審査機関を決定する（審査機関は「TISAX Scope Excerpt」の内容に基づいて提案を行う）。
   
3. 審査期間による審査
   審査機関は、自動車会社から要求された、会社の認証範囲とアセスメントレベルに基づき、関連する審査を実施する。
   
4. 審査結果の登録、公開
   企業は、審査結果をTISAXプラットホーム上に公開する。公開後は、TISAXのその他参加者がENXネットワーク上で審査結果にアクセスし、内容をレビューできる。
   

図表3で示すように、企業がENX Portalに登録した時点で審査開始となりますが、初期評価から改善対応を経て、TISAX認証を取得するまでの一連のプロセスは、9カ月以内に完了する必要があります。このため、現状のセキュリティ管理態勢が要求事項を満たさないと想定される場合は、ENXへの登録前に初期評価を実施して問題点を洗い出し、不合格となる可能性がある項目の改善対応を進めた上で本審査に臨むなど、綿密な計画、スケジュール設定が必要です。

TISAX認証の有効期間は3年間です。認証を更新する場合は、企業は期間内に再度、審査機関による審査を受ける必要があります。

なお、現時点では自動車会社の中には新規取引先となる企業や、新規業務の取引に際して、TISAX認証を必須要件としている会社もあります。また、既存の取引先についても、TISAXの認証取得を求めるケースがあります。

現在、ドイツの自動車会社が、サプライヤーに対してTISAXの認証取得を要求し始めています。フォルクスワーゲンはサプライヤーに対し、新規取引時や自社とデータを交換する可能性がある場合には、TISAXの認証取得を義務付けています。また、他のドイツの自動車会社も、サプライヤーへのTISAX認証取得の要求を予定しています。

認証取得支援サービス