ここから本文です

自工会・部工会サイバーセキュリティガイドライン2.2版対応チェックシートを解説



100年に1度の技術的大変革期を迎えている自動車業界。多層で幅広いサプライチェーンを形成しているため、自社だけではなくサプライチェーン全体でセキュリティ強化をしていく必要があります。こうした背景から、自動車業界固有のサイバーセキュリティリスクを考慮したガイドライン「自動車産業サイバーセキュリティガイドライン(自工会/部工会サイバーセキュリティガイドライン)」が公開されました。今回は、2024年8月に公開された第2.2版に基づいて、セキュリティ担当者が気を付けるべき点について解説します。



目次

  1. 自動車産業を取り巻くサイバー脅威の現状
  2. 自社のセキュリティレベルを可視化!自動車産業サイバーセキュリティガイドラインの概要
  3. セキュリティ担当者がまずやるべき「機器の現状把握」
  4. 自動車産業サイバーセキュリティガイドラインに取り組むためのポイント
  5. 自動車産業サイバーセキュリティガイドラインに取り組む際の強力な味方、不正接続防止ツールシェアNo.1「iNetSec SF」


自動車産業を取り巻くサイバー脅威の現状



近年の自動車業界においては、自動運転やコネクテッド、シェアリング、電動化に代表されるように、業界全体でモビリティ社会の実現に向けてITの活用が進んでいます。一方で、社内のITインフラだけでなく個々のクルマや工場などがインターネットに接続されることで、サイバー攻撃の被害を受けるリスクも高まっています。

特に自動車業界の場合、完成車メーカー、Tier1、Tier2…というように、多層で幅広いサプライチェーンが形成されています。自社でどれだけセキュリティを強化したとしても、仕入先や委託先が攻撃され、それを踏み台として自社が攻撃されるケースもあります。

自動車業界で記憶に新しい事例として、自動車部品メーカーへのサイバー攻撃が挙げられます。自動車部品メーカーA社の子会社が所持する通信用機器に脆弱性があり、ランサムウェアの感染を許しました。部品の生産に関わる受発注システムまでマルウェアが侵入していたことから、A社が稼働停止に追い込まれ、完成車メーカーもやむなく工場を稼働停止する事態になりました。システムが復旧するのにおよそ1か月かかり、深い爪痕を残したのです。



自社のセキュリティレベルを可視化!自動車産業サイバーセキュリティガイドラインの概要

セキュリティリスクが高まる自動車業界において対策を進めようと策定されたのが「自動車産業サイバーセキュリティガイドライン(自工会/部工会 サイバーセキュリティガイドライン)」です。

セキュリティ強化の必要性は感じつつも、どこから取り組んだらよいのかわからないと悩む企業は少なくありません。そのため対策フレームワークと対策レベルの効率的な点検を行えるように日本自動車工業会(JAMA)、日本自動車部品工業会(JAPIA)が、共同でガイドラインを策定しました。

自動車産業サイバーセキュリティガイドラインは、21項目の要求事項と153項目の達成条件で構成されています。

達成条件については、項目ごとにレベル分けされています。


レベル1(50項目)
自動車業界の事業者として、最低限対策しておきたい項目です。自動車業界に関係するすべての会社が対象です。

レベル2(74項目)
自動車業界の事業者として、標準的に達成を目指す項目です。対象となるのは、サプライチェーンで社外の機密情報を取り扱う会社、そしてある程度の規模やシェアがあり、サイバー攻撃などで供給停止になった場合にサプライチェーンに大きな影響を与える会社です。

レベル3(29項目)
現時点で自動車業界が到達点として達成を目指す項目です。会社規模や技術レベルの観点で自動車業界を牽引する会社、それを目指す会社が対象です。

2020年に公開された第1版でレベル1の項目が策定され、2022年に公開された第2版でレベル2、レベル3の項目を追加で策定されました。
また2024年8月にはチェックシートを改訂した第2.2版を公開しています。



セキュリティ担当者がまずやるべき「機器の現状把握」

自動車産業サイバーセキュリティガイドラインにおいて、レベル2までを実施するのが業界推奨です。一社一社がサイバー攻撃のリスクと向き合い、自動車産業サイバーセキュリティガイドラインの達成条件をクリアしていくことで、自動車業界全体のセキュリティレベルを向上させることができます。

自動車産業サイバーセキュリティガイドラインについては、レベル1から順に対策をしていくことが推奨されています。

レベル1に取り組む際に、まずやるべきことは「機器の現状把握」です。

サイバー攻撃者は、常に弱い部分を狙っています。弱い部分とはサプライチェーンの中で対策が遅れている企業を指すこともありますが、業務内部においても脆弱性が残る端末が弱い部分となり、攻撃者に狙われると言えます。

現在利用されている機器がどれだけあるのか、すべてを把握できている企業は実は多くはありません。BYODやシャドーITといった言葉で取り上げられるように、現在は社内ネットワークに許可されていない端末を簡単に接続できてしまうケースが多いのが実情です。

そのため「知らないうちに接続される端末が増え続けていく」といった不安を感じる管理者も多く存在します。

端末を把握していなければ、端末のマルウェア対策や脆弱性対策もできません。また万一セキュリティ事故が発生した時、影響範囲を特定し、被害を極小化することができません。
現状把握は、セキュリティ対策の基礎であり、第一歩なのです。




自動車産業サイバーセキュリティガイドラインに取り組むためのポイント



自動車産業サイバーセキュリティガイドラインに掲載されているチェックシートについて、「機器の現状把握」の観点でポイントをご紹介しましょう。

機器の現状把握は、自動車産業サイバーセキュリティガイドラインの「11 情報資産の管理(機器):No.59~No.65」に該当します。「11 情報資産の管理(機器)」は情報資産を適切に管理し、セキュリティ事故につながるリスクを抑えるとともに、セキュリティ事故が発生した時に対応を迅速化する目的があります。
この中でレベル1である項目は以下の通りです。


No.59 :重要度に応じた情報機器、OS、ソフトウェアの管理ルールを定めている
情報機器、OS、ソフトウェアの管理を徹底するため、導入、設置、ネットワーク接続、セキュリティパッチ適用といった管理ルールを定める必要があります。
具体的には、許可されていない情報機器や、古いOSのバージョンの情報機器をネットワークに接続させないというポリシーを策定することで、脆弱性の残る端末の存在リスクを減らすことができます。

No.60:重要度に応じた情報機器、OS、ソフトウェアの情報について一覧を作成している
バージョン情報、管理者、管理部門、設置場所等の管理項目を設け、一覧を作成する必要があります。
情報機器は、知らない間に接続されていたり、誰も使用していないまま放置されていたり、といったことが発生します。管理外の情報機器が増えることで脆弱性が高まり、サイバー攻撃者に付け込まれる可能性が高くなります。そのため情報機器は一覧を常に最新に保ち、漏れなく把握しておく必要があります。

No.62:情報資産(機器)は重要度に応じた管理ルールに沿って管理している
No.59 で定義した管理ルールに沿って管理を実施し、不備・違反があれば、是正を行います。

No.59、No.60、No.62はそれぞれ「IT資産の管理ルールを作る」「IT資産を一覧化する」「管理ルールに従ってIT資産を管理する」という極めてシンプルな対策です。
とはいえ運用担当者が手作業で行うと、多くの時間と労力が必要となり、かなりの負担増になります。 特にNo.60のIT資産の一覧化は、膨大な情報機器を棚卸することから始めなければなりません。また一覧を作るだけでなく、常に最新の情報にしておかないと、万一セキュリティ事故が発生した場合に迅速な対応ができなくなります。



自動車産業サイバーセキュリティガイドラインに取り組む際の強力な味方、不正接続防止ツールシェアNo.1(※)
「iNetSec SF」

現状把握をリアルタイムに高い精度で行うためにおすすめしたいのが、不正接続防止ツール「iNetSec SF」です。機器とネットワーク構成を自動で可視化できるほか、許可されていない端末がネットワークに接続されたら申請画面に遷移する制御や不正端末の検出・遮断を行うこともできます。
iNetSec SFは、前章でご紹介した自動車産業サイバーセキュリティガイドラインのNo.59、No.60、No.62の他にも対応可能な項目があります。


11 情報資産の管理(機器)
No.61(レベル2):情報機器、OS、ソフトウェアの情報(バージョン情報、管理者、管理部門、設置場所等)の一覧を定期的、または必要に応じて、見直ししている
iNetSec SFでは、ネットワークに接続された機器すべての「IPアドレス」「MACアドレス」「ホスト名」に加え、「機器種別」「OS種別」についても自動識別して一覧表示することが可能です。

15 社内接続ルール
No.80(レベル3):許可された機器以外は社内ネットワークに接続できないよう、システムで制限している
iNetSec SFは、許可された機器以外の接続を検知・遮断することができます。また、許可されていない機器について、利用申請画面に遷移させることで情報機器を漏れなく管理できます。

19 パッチやアップデート適用
No.123(レベル2):サポート期限が切れたOS、ソフトウェアを利用しないようにしている
iNetSec SFにおいては、PCのOSのバージョンを自動で判定し、ポリシーを自動設定できます。そのためサポート期限が切れたOSを搭載した機器を自動的に遮断できます。

23 不正アクセスの検知
No.142(レベル2):通信内容を常時監視し、不正アクセスや不正侵入をリアルタイムで検知/遮断および通知する仕組みを導入している
iNetSec SFの「振る舞い検知」オプションを導入すると、ネットワークの通信の振る舞いを監視し、標的型サイバー攻撃で利用される遠隔操作型マルウェアや自己拡散型マルウェアを検知できます。感染端末を特定し即座にネットワークから自動で遮断することで、マルウェア感染の被害を局所化することができます。

No.146(レベル2):社内に侵入したマルウェアと不正なサーバーとの通信を遮断する対策を実施している
iNetSec SFの「振る舞い検知」オプションを導入すると、ネットワーク通信から、マルウェアに感染している端末を検知し、自動遮断が可能です。

手軽に導入でき、セキュリティの基礎を固め、情報機器管理用作業を効率化できるiNetSec SFは、運用担当者の不足に悩むお客様に最適です。現状把握を精度高く実施することで、今後もセキュリティ強化もしやすくなります。ぜひ一度ご検討ください。



※出典:株式会社富士キメラ総研「2019~2024 ネットワークセキュリティビジネス調査総覧」(検疫ツール市場・不正接続防止ツール分野 2018年~2023年度実績・企業シェア)


参考資料 https://www.jama.or.jp/operation/it/cyb_sec/cyb_sec_guideline.html#reference2(日本自動車工業会ガイドライン)
https://www.jama.or.jp/operation/it/cyb_sec/docs/cyb_sec_guideline_V02_02.pdf(ガイドライン2.2)
https://www.jama.or.jp/operation/it/cyb_sec/docs/cyb_sec_guideline_CS_v02_02_Rev2.xlsx(チェックシート)

前の記事へ
次の記事へ