自動運転車の実用化が進む中、自動車業界では自動運転技術の国際基準を策定し、標準化を進める動きが活発化している。自動運転自動車の安全性を維持するには、適切なサイバーセキュリティ対策とソフトウェアアップデートが欠かせない。
本連載では、自動車サイバーセキュリティに関する国際基準を取り巻く状況、各OEMやサプライヤーのセキュリティ対応について、現状や課題を取り上げ全4回にわたって解説する。第1回では、国際基準であるWP29 UNR155に対し各社が取り組んでいる内容とその立場について概況する。
自動車セキュリティに関する国際法規「WP29 UNR155」
従来、自動車と物理的に近接することが必須だったハッキング行為も、近年では無線通信(Over-The-Air)によるソフトウェアのアップデートシステムを悪用することで遠隔地からの攻撃の可能性が指摘されており、いくつかの攻撃実証事例も報告されている。こうした状況を踏まえ、「自動車基準調和世界フォーラム(WP29)」では、2016年から国連法規基準についての議論が始まり、2020年6月には自動車サイバーセキュリティに関する国際基準が策定された。
このうちCSMS(Cyber Security Management System)の整備を含むサイバーセキュリティの標準がUNR155である。日本でも2021年に道路運送車両法が改正され、2022年7月からは無線によるアップデート機能を持った新規発売車種に対して、車両セキュリティ法規を順守する義務が生じている。さらに2024年7月からは搭載されている機能にかかわらず、全車種に対して同法規が適用される予定となっている。
WP29 UNR155では、設計・開発段階だけではなく、生産・アフターセールスなど自動車のライフサイクル全般を網羅したサイバーセキュリティの構築と検討体制が求められるため、認可を取得するための検討には各OEM、サプライヤー共に組織を横断した全社的な活動が必要となる。よって日本のOEM・サプライヤー各社は1年以上の時間をかけてプロセスを構築し、規定を改定し、社員の教育を進めてきた。
法規に準拠するためのセキュア開発
国際法規に準拠するためのガイドとして活用されているのが車両サイバーセキュリティに関する国際標準規格である「ISO/SAE 21434」だ。その中では従来使用されているV字開発プロセスの中で、車両の企画・開発から生産、廃棄まで、製品ライフサイクル全体を包含したセキュリティ確保のための7つの要求事項が示されている。
