自動車業界でサイバーセキュリティー対策を巡る動きが広がっている。インターネットとつながる自動運転やコネクテッドカー(つながる車)はサイバー攻撃にさらされるリスクをはらむ。生産分野でもデジタル化が進む工場で、ネットワークの脆弱(ぜいじゃく)性を突かれると操業停止に追い込まれる。車自体の安全性や工場の稼働を維持できるように、完成車メーカーと部品メーカーが協力したりしてセキュリティーレベルの引き上げを図る。(日下宗大)

リモートで被害倍増

「日本自動車工業会(自工会)の会員で『何十倍も攻撃件数が増えた』という企業もある」。自工会の古田朋司サイバーセキュリティ(CS)分科会会長は高まるサイバー攻撃のリスクを指摘する。

車業界に限らず新型コロナウイルス感染症拡大を契機に、サイバー攻撃の件数は増大している。サイバー攻撃対策を支援する民間団体「JPCERTコーディネーションセンター」に寄せられたインシデント(報告件数)は2020年3月以降増加。9月は2月比3倍の5473件、12月も4865件だった。新型コロナでリモートワークが増えたことなどが要因とみられる。経済産業省は12月、経営者にサイバー攻撃への注意喚起をした。

コロナ禍以前から各社へのサイバー攻撃による被害が出ていた。車業界では16年に日産自動車の公式サイト、19年にトヨタ自動車の販売店への攻撃があった。20年にはホンダの国内外拠点への攻撃があり、一部工場の操業が停止した。サプライヤーにも標的型のサイバー攻撃の被害が出ている。

攻撃の脅威が高まる一途の中、車業界ではセキュリティー対策を協調分野と位置付ける。「サプライチェーン(供給網)が広くて深くて大きい」(古田氏)からだ。個社だけの対策ではサプライチェーン全体を守り切ることはできない。

業界協調、指針を策定

自工会は業界全体の対策レベルの底上げに力を入れる。日本自動車部品工業会(部工会)と共同で「サイバーセキュリティガイドライン」の策定に乗り出した。20年3月に出したベータ版を経て、第1版として12月に改訂した。

ガイドラインでは会社全体の業務に共通する情報システムを対象に対策項目の基準を示した。セキュリティーに関する教育や攻撃に対する訓練、攻撃発生時の初期対応などを列挙した。ベータ版を試行した企業から意見を収集して、「特に事例や判断基準を分かりやすく盛り込んだのが第1版だ」(荒谷拓自工会CS分科会副分科会長)。次版以降は特定領域の対策に関してもガイドラインに盛り込む考え。「工場」「販売」「コネクテッド」などを念頭に置く。

コネクテッドカーのサイバー対策に向けては関連企業が加盟した新団体が設立された。自工会の内部組織「J―Auto―ISAC」が一般社団法人として独立した。完成車メーカーと部品メーカーなどのサプライヤーが参加する。「車への攻撃に対して有効な情報共有を進めたい」(荒谷氏)とし、セキュリティーレベルの向上やワーキンググループの拡充を図る。ISACはサイバー攻撃の脅威情報を業界内で共有する組織。車のほか電力や通信、金融などの各業界にも置かれている。

コネクテッドや自動運転に関わる半導体商社でもサイバーセキュリティーのニーズに対応する。グローセルは堅固なセキュリティーモジュールの提供に力を入れる。車載セキュリティーに関わるソフトウエア開発は「コアな部分であり育てていく」(同社幹部)。

加賀FEI(横浜市港北区)は1月、フィンランドのサイバーセキュリティー企業のエフセキュアと車載分野などで提携した。車載機器に対するサイバー攻撃のリスクを設計段階から診断対応する。

内容伝える人材育成を

今後は不足するサイバーセキュリティー人材の育成も急務だ。車だけではなく産業界全体でデジタル変革(DX)が叫ばれている。古田氏は「DXとサイバーセキュリティーは切っても切れない」と強調。セキュリティーに関わる人以外にも「対策で何をしているか伝える役割も必要だ」と指摘する。サイバー空間担当の総務省幹部も「『橋渡し人材』が大事だ」と話す。

サイバー攻撃の脅威が深刻化する中、裾野の広い車産業ではセキュリティーの素早いレベル向上が重要だ。サイバーセキュリティーの最前線に従事する人材だけではなく、経営から現場までの各層に専門的な対策内容を“翻訳”できるような人材育成も求められる。