.webp)
.webp)
現代の車両におけるソフトウェアへの依存度の高まりは、サイバー セキュリティをソフトウェア工学の不可欠な要素へと変貌させました。膨大な量のコードを内蔵する現代車両では、潜在的なサイバー攻撃の標的領域が拡大し、悪意ある攻撃者にとって新たな複雑な攻撃経路が生み出されています。この現実に対応するには、車両開発の初期段階から組み込まれた堅牢な自動車サイバーセキュリティ工学の実践が求められます。
ここで自動車サイバー セキュリティ エンジニアリング規格である ISO/SAE 21434 が、自動車業界がサイバー セキュリティにどう取り組むべきか指針を提供します。包括的なリスクベースのフレームワークを提供することで、メーカーやサプライヤーが車両ライフサイクル全体を通じてサイバーリスクを体系的に特定・評価・軽減するよう導きます。
本ブログでは、車両の攻撃対象領域全体に広がる新たなサイバー セキュリティリスクとISO/SAE 21434 が安全なエンジニアリングの基盤をどう構築するかを探ります。
現代車両のサイバーリスク状況
接続されたソフトウェア定義車両と自動運転車両は、複数の攻撃ベクトルにわたって特に複雑なリスクに直面しています。
- リモートインターフェース:セルラーテレマティクス、OTA チャネル、Bluetooth/Wi-Fi、V2X (車両間通信) は、リモートコード実行、中間者攻撃 (MITM) 、なりすまし、SIM/認証情報の窃取、バックエンドAPIの悪用などの標的となる
- 車載ネットワーク:CAN やイーサネットドメイン (例:SOME/IP、DoIP) などの車載プロトコルは、主にネイティブ認証の欠如によるセキュリティ脆弱性に直面。これによりメッセージ注入、リプレイ攻撃、サービス発見の悪用などの攻撃に対して脆弱となる
- 自律走行と知覚:GNSS スプーフィング/妨害、カメラ/LiDAR の遮蔽、敵対的機械学習入力、不安全なデータ/モデルパイプライン (モデル改ざんまたは署名なしモデルパッケージ)
- 診断・製造:UDS セキュリティアクセス(シード/キー) の悪用、フラッシュ/再プログラミングサービス、DoIP、残存デバッグ/テストモード、不安全なブートローダー、工場プロビジョニング漏洩、露出 JTAG インターフェース
- サプライチェーン:サードパーティ製ソフトウェア/ファームウェア及び FOSS/OSS コンポーネント、SBOM の欠落、タイポスクワッティングまたは侵害されたパッケージ、CI/CD パイプライン攻撃、脆弱なファームウェア署名キー管理
- クラウド&アプリ:クラウド バックエンドAPI、モバイルアプリ、更新インフラのリスクにはトークン漏洩、認証不備、不十分な強化対策、車両機能への侵入経路としてのクラウド利用が含まれる
自動車産業は、このように広範かつ進化する自動車向け脅威環境に、体系的にどう対処すべきでしょう?その答えは、ISO/SAE 21434 のような堅牢なサイバー セキュリティ エンジニアリング フレームワークを採用し、Reg 155 サイバー セキュリティ マネジメントシステム (CSMS)要件から学ぶことにあります。
ISO/SAE 21434 規格とは何ですか?
ISO/SAE 21434 は、OEM、ティア1サプライヤー、自動車ソフトウェアプロバイダーが、コンセプト、開発、生産、運用/保守、廃棄に至る全ライフサイクルにわたってサイバー セキュリティを設計すべき方法を定義しています。
ISO/SAE 21434 の強みのひとつは、車両サイバーセキュリティに対してリスクベースの多層的アプローチを義務付けている点です。当社の認証取得済みサイバーセキュリティマネジメントシステムは、これらの活動の全範囲を網羅し、あらゆるレベルでセキュリティを徹底的に実装していることを確認しています。これは、高レベルの組織的実践から詳細な技術分析まで多岐にわたります。
しかしISO/SAE 21434 は単独で存在するものではありません。UNECE R155やR156、中国のGB規格といった自動車サイバー セキュリティ規制への対応基盤でもあります。
ISO/SAE 21434 の規制整合性
現在の規制環境において、サイバー セキュリティは単なるベストプラクティスを超え、EU、中国、日本など UN R155 を採用する国々への市場参入の前提条件となっています。
当社の ISO/SAE 21434 認証プロセスは、国連R155 CSMS 基準に直接対応し、国連 R156 ソフトウェア更新管理システム (SUMS) への準拠を支援します。これにより、お客様は 54 の国連欧州経済委員会 (UNECE) 加盟市場および中国の並行する GB 規格における承認プロセスを、より迅速かつ確実に進めることが可能となります。
車両ライフサイクル全体にわたるセキュリティ
自律走行車や最新のソフトウェア定義車両において、セキュリティ脆弱性はデータの機密性や完全性の喪失だけでなく、直接的な安全上の問題を引き起こす可能性があります。そのため当社の戦略は、暗号化された信頼の基盤、強力な分離、セキュアな通信、継続的監視などに重点を置いた多層的なセキュリティ制御による予防・検知・復旧を実現し、ISO/SAE 21434 に準拠した厳格なサイバーセキュリティポリシー、プロセス、規律ある更新/インシデント対応ワークフローでこれを支えるものです。
Applied Intuitionでは、セキュリティを製品開発の全段階に統合しています。当社の自動車向けビークルOS および自動運転システム (SDS) は、ISO/SAE 21434 プロセスに沿って一から設計されています。すべてのプロジェクトにおいて、脅威分析、リスク評価を体系的に実施し、セキュア設計手法を採用し、厳格な検証・妥当性確認テストを実施します。この業界基準に沿った積極的なアプローチにより、セキュリティを早期段階に組み込み、ビークル OS および自律プラットフォームにおける脆弱性のリスクを劇的に低減します。
さらに、ISO/SAE 21434 に準拠することで、UNECE 規則155 CSMS および規則 156 SUMS のCSMS 依存要件を本質的に満たします。例えば、当社の更新計画とセキュリティインシデント対応戦略により、ソフトウェアパッチは厳格なセキュリティ管理下で提供され、各更新を通じて車両ソフトウェアの完全性が維持されます。
規制当局は、効果的な CSMS が安全な SUMS の基盤であることをますます認識しています。したがって、当社のコンプライアンス対応は、これらの規制が適用されるあらゆる場所で OEM が摩擦のない承認を得られるように位置づけています。
お客様とパートナーの皆様にとっての意義
- より迅速な認証取得 (規制承認サイクルの短縮)
- サプライチェーン保証 (サードパーティ製コンポーネントの安全な統合)
- ライフサイクルリスクの低減 (新たな脅威への迅速な対応)
- サイバーレジリエンス法への将来を見据えたコンプライアンス対応
ISO/SAE 21434 への準拠により、規制当局の信頼を獲得し、参加市場全体での承認を加速。お客様のサイバー セキュリティ認証取得の迅速化を支援します。
セキュアな自律走行と車両知能の推進
ISO/SAE 21434 認証を取得したことで、Applied Intuition はセキュリティが製品戦略の基盤となる柱であることを改めて確認しました。当社の自動車向けソフトウェア製品は、厳格に管理されたサイバーセキュリティプロセスを通じて設計されています。Applied Intuition の技術を搭載した車両が道路を走る際には、プラットフォームの先進性や接続性にかかわらず、あらゆる合理的な対策を講じてサイバー脅威から防御し、運転者と乗客の両方を保護するという、確かなサイバーセキュリティ保証が伴います。
EU のサイバー レジリエンス法のような新たな規制や基準が世界的に登場する中、当社は強固な基盤を土台にこれらに真正面から対応します。ISO/SAE 21434 などの枠組みへの早期適合により、迅速な適応が可能となり、お客様のサイバー セキュリティ認証と市場参入を将来にわたって効果的に保証します。
モビリティの未来は確かに刺激的です。インテリジェントで自律走行し、高度に接続された車両が道路の在り方を変えつつあります。しかし、この可能性を実現するには、強固なサイバー セキュリティへの共通の取り組みが不可欠です。Applied Intuition は、自動車サイバー セキュリティ革新の最前線に立つことを使命としています。ISO/SAE 21434 認証の取得と維持を通じて、安全でセキュアな製品を提供するだけでなく、世界中の規制承認を加速させます。
当社の車両インテリジェンス製品と ISO/SAE 21434への準拠、ならびに UNECE R155 適合達成に向けた顧客支援について、詳細を知りたい方はアApplied Intuition のエンジニアリングチームまでお問い合わせください。
