二輪車向けサイバーセキュリティ規制の導入
2024年1月、UNECEの自動運転車・自律走行車・コネクテッドカーに関する作業部会は、サイバーセキュリティ管理規則(通称UNR155)を、時速25kmを超えて走るオートバイ、スクーター、電動自転車に拡大することを決定しました。
この決定は、二輪車業界に対するウェークアップコールです。これまで、二輪車メーカーがサイバーセキュリティに対応する必要はありませんでした。
しかし、状況が変わりました。二輪車メーカーはこれに対応する必要があります。
この決定の背景にあるものはなんでしょうか。二輪車にとってサイバーセキュリティが不可欠になる理由、また、どのようなリスクがあるのでしょうか。そして、二輪車メーカーがUNR155に準拠することは、ビジネス上どのような影響があるのでしょうか。
この記事では、基本的な自動車サイバーセキュリティおよびUNR155コンプライアンスに関する我々の洞察と、四輪車メーカーのコンプライアンス準拠における道のりをナビゲートするなかで学んだ貴重な教訓を共有します。
自動車にサイバーセキュリティが必要な理由
自動車業界におけるサイバーセキュリティの導入はここ2、3年のことですが、現在ではほぼすべての自動車メーカーやティア1サプライヤーにとって、サイバーセキュリティは一般的な用語となっています。
その理由は、現在路上を走行している何千万台もの自動車が、クラウド接続を備えたソフトウェア・デファインド・ビークル(SDV)であるためです。他の接続デバイスと同様に、SDVにはソフトウェアが持つ脆弱性があり、ハッキングの対象であり、サイバーセキュリティリスクにさらされています。最近開催されたハッキングコンテストでもこれは明確に示されており、大手自動車サプライヤーの車両充電システム、車載エンターテインメント技術、モデムサブシステムで数十ものソフトウェア脆弱性が発見されました。
ITネットワークへのサイバー攻撃とは異なり、自動車へのサイバー攻撃は生命を脅かす結果をもたらす可能性があります。特定の脆弱性を悪用することで、悪質な行為者はセーフティ・クリティカルなシステム(ブレーキなど)を侵害したり、遠隔地から自動車を始動させて制御したりすることさえ可能です。
安全性への懸念に加え、車両のサイバー攻撃は個人情報を危険にさらす可能性もあります。SDVが生成・収集するデータは、自動車メーカーが車両運用を改善し、ドライバーの運転体験をパーソナライズするのに役立つ一方で、データプライバシーに関する深刻な懸念ももたらします。 Mozillaの調査によると、現代の自動車は、OEMによるデータ保護が不十分であるため、「私たちがこれまでレビューした中で、プライバシーに関して最悪の製品カテゴリー」であると述べています。
テレマティクス、アダプティブ・クルーズ・コントロール、高度なコネクティビティが二輪車に導入されたことで、二輪車の潜在的なサイバーリスクに対する懸念も高まっています。
規制の現状を理解する
コネクテッドカーに対するサイバー攻撃リスクの高まりに対応するため、近年、新たな自動車サイバーセキュリティ規制や標準が登場しました。UNR 155やISO/SAE 21434のようなグローバルな指令は、すでにOEMとそのサプライヤーの製品開発・管理方法に大きな影響を与えています。
ISO 21434は、路上を走行する車両のエンジニアリングにおけるサイバーセキュリティ観点からの国際規格です。この規格は、コンセプト、設計、生産、運用、保守、廃棄に至るまで、車両のライフサイクル全体にわたってサイバーセキュリティのリスクを管理するためのガイドラインを提供しています。
UNR155は、車両のライフサイクル全体を通じてサイバー脅威を検知・防御するためのリスクベースの管理フレームワーク(別名サイバーセキュリティマネジメントシステム、CSMS)の導入をすべてのOEMに義務付けています。EU諸国、日本、韓国などを含むUNECE加盟国の乗用車、トラック、バスに義務付けられているUNR155は、サイバーセキュリティに関して路上を走行する車両の型式認証のための国際的枠組みとなっています。
UNR155を構成する主な2つの柱:
- CSMS – CSMSは、サイバー脅威を緩和し、サイバー攻撃から車両を保護するために必要な組織的プロセス、責任、ガバナンスを定義する体系的なリスクベースのアプローチです。CSMSの仕様はUNR155の文書に詳述されています。UNR 155は、開発、製造、製造後の各段階で実施すべきプロセスを規定していますが、そのようなプロセスを実行するために使用される特定のツールや製品については規定していません。
- 型式認証 – UNR155は、自動車メーカーが型式認証を取得するために満たすべき組織的・技術的要件について、新たな状況をもたらしたといえます。同規則は、型式認証に2つのマイルストーンを設定しました。2022年7月、すべての新車は型式認証を取得するためにCSMS適合証明書(CoC)の取得が義務付けられました。2024年7月に設定された2つ目のマイルストーンでは、この要件がUNECE加盟国のすべての新型車(承認済みの型式と新型の両方)に拡大されます。CoCは、型式承認機関による厳格な審査プロセスを経て付与されます。
UNR155により、自動車のバリューチェーン全体が対象となり、早急な対応を求められています。OEM は現在、型式認証取得に向けてコンプライアンスを実証する必要があるため、サプライヤーに対しても、製品の設計、開発、運用、保守のプロセスにサイバー耐性を組み込むことを要求しています。
二輪車メーカーにとっての規制遵守の意味合い
コンプライアンス・プロジェクトを実施した四輪車メーカーから学んだことを生かして、二輪車メーカーは、新規制が自社のビジネスと製品開発に及ぼす潜在的な影響を理解することが求められています。
CSMSを確立し、二輪車の型式認証のためのコンプライアンスを達成するためには複雑な取り組みを進める必要があり、自動車サイバーセキュリティの知識、熟練したリソース、専用ツールが必要になります。それだけでなく、既存のモデルにサイバーセキュリティを後付けするために必要な工程を検討することも重要です。
サイバーセキュリティ規制の影響を示す最近の例として、ポルシェは、ベストセラーのICEエンジン搭載SUV車「マカン」について、2024年春に欧州販売を終了すると発表していますが、これはサイバーセキュリティ規制に関連するものです。ポルシェは、新規制に準拠するために必要なアップデートが非常に複雑でコストがかかると判断したと説明しています。VWやアウディを含む他の車種に関しても同様の発表がありましたが、その最新版と言えるでしょう。
まとめ
UNR155の二輪車(車両カテゴリーL)への拡大は、2024年6月に正式採用される予定です。
UNECE加盟国で販売されるモーターサイクルやスクーターを製造する二輪車メーカーは、サイバーセキュリティについて考え始め、来るべき規制要件準拠のための周到な計画を準備すべき時がやってきました。
二輪車向けのサイバーセキュリティが必要になった今、業界の対応が早いに越したことはありません。
サイバーセキュリティ・コンプライアンス準拠に向けたナビゲートが必要ですか?ギャップ分析、CSMS、二輪車の型式認証については、アルガスのサービスチームまでお問い合わせください。