WP.29も世界情勢の影響を受けるのか -UN-R155のUPDATE-
先月のことにはなりますが、186回目のWP29、自動車基準調和世界フォーラムがスイスのジュネーブで開催されました。
https://unece.org/info/events/event/363011
Working documentsはたくさん掲載されていますが、このブログで対象とすべきである、UN-R155、サイバーセキュリティ管理システム(Cyber Security Management System、CSMS)のUPDATEを見てみたいと思います。
と言っても、実際に見てみると些細な内容ではありました。CSMSプロセスに基づき開発・生産された自動車に対する型式認証の要件について触れている、7.3節についてのUPDATEでした。
どこを修正したのか明示してくれていないので、一先ず7.3.1節の改正内容をそのまま載せますが、
The manufacturer shall have a valid Certificate of Compliance for the Cyber Security Management System relevant to the vehicle type being approved.
However, for type approvals first issued before 1 July 2024 and for each extension thereof, if the vehicle manufacturer can demonstrate that the vehicle type could not be developed in compliance with the CSMS, then the vehicle manufacturer shall demonstrate that cyber security was adequately considered during the development phase of the vehicle type concerned.
おそらくですが、改正したのはHowever以降かなと思いますが、2024/7/1より前に取得した型式承認については、少し規制を緩めた、と解釈できるのかなと考えます。However以降を直訳すると、
2024年7月1日以前に最初の発行を受けた型式承認およびその延長については、自動車メーカーがCSMSに準拠してその型式を開発できなかったことを明らかにするのであれば、その型式の開発段階においてサイバーセキュリティが適切に考慮されたことを実証する必要があります。
となりますでしょうか。CSMSに準拠できなかったのであればそれも良しとするけど、それを明らかにした上で、どのようにサイバーセキュリティに対し適切に対処し開発してきたのか説明してね、とわたしには読めます。
最近の世界情勢により、自動車業界は大きな影響を受け、サプライチェーンも寸断され、工場を停止する自動車会社もちらほら出ています。
WP.29もこれまでのスケジュールで物事を進めていくのは困難と判断したのかもしれません。
尚、次回の187回目となるWP.29は6/21より開催とのことですので、またUPDATEがあればこちらでご紹介したいと思います。
急増するサイバー攻撃、SUBARUの対策を見る -サイファーマ社、DeCYFIR-
当該記事によると、この1ヶ月程度の間に受けたサイバー攻撃がこの1年間において最多であったとのこと。確かにニュースで目にする機会が多数あったわけですが、検知されている数も実際多かったようです。ロシアのウクライナ侵攻との因果関係は・・・果たして。
そんな中、SUBARUがサイバー攻撃に対するセキュリティ対策強化について発表しました。
日立が自社のセキュリティ専門組織で20年以上にわたり培ってきた判断基準や対策方法などサイバーセキュリティ対応の運用ノウハウと、CYFIRMAの脅威情報を収集し可視化・分析するプラットフォーム「DeCYFIR」を組み合わせて提供するものです。今回、日立とCYFIRMAは、SUBARUのセキュリティ対策強化に向け、サイバーセキュリティ上の課題整理から「DeCYFIR」の導入、脅威情報の仕分けや対策など運用プロセスの策定を行いました。
SUBARUにおける主要なITベンダーである日立がリードし、サイファーマ社の「脅威ディスカバリー&サイバーインテリジェンスプラットフォーム」であるDeCYFIRが導入されたようです。
HP↑がカッコいいのでぜひ見ていただきたいですが、内容が盛りだくさんなのでちょっとわたしのような素人には難しいですね。。。とにかく色々とやってくれそうです。サイファーマ社自体、今回初めて知ったのですが、2019年10月にAntuit Groupから独立したそうです。会社概要など、まだ不明点が多いですが、日本語のHPも充実しており日本企業への導入実績も複数見られますので、今後目にする機会も増えてくる会社様なのかなと思います。
トヨタの場合、サプライヤーが攻撃を受けてサプライチェーンが寸断され工場停止に追い込まれたわけで、SUBARUも自社のセキュリティ対策強化はもちろん、サプライヤーを巻き込んだサプライチェーンのクリティカルな箇所をいかに守れるか、今回の日立・サイファーマの取り組みを見守りましょう。
距離感ゼロのリスクがもうそこまで来ている
世界が激変している真っ最中、前回1月に投稿してからはや2ヶ月が過ぎ、当ブログもなかなか更新するタイミングがありませんでした。小島プレス工業がサイバー攻撃を受けた件は既に周知かと思いますが、昨日3/13(日)にはデンソーのドイツ法人もランサムウェアに感染したとのことです。
設計図や発注書、メール等の1.4TBのデータに対し身代金が要求されているようです。実情はわかりませんが、報道時点では稼働し続けているとのこと。物理的な被害では比較するまでもないことではありますが、現実世界だけでなくサイバー空間上でも悪逆な犯罪者による攻撃が多数行われており、地政学的事情に依存しない分、より自身が被害者になるリスクは高いとも言えます。
わたし自身、現在顧客のITセキュリティ向上プロジェクトに関与している身として、改めて身の引き締まる思いです。そして、サイバーセキュリティ管理システム(Cyber Security Management System、CSMS)、ソフトウェアアップデート管理システム(Software Update Management System、SUMS)の整備をしつつも、喫緊の課題としてこのようなサイバー攻撃への防御力向上を同時並行で行っていく必要性も訴えかけています。手っ取り早く現状を認識するためにも、ペネトレーションテストを実施することも議論に上がっています。
ペネトレーションテストとは、インターネットなどのネットワークに接続されているシステムに対して、様々な技術を駆使して侵入を試みることで、システムにセキュリティ上の脆弱性が存在するかどうかテストする手法のことを言います。
書いていて思い出しましたが、GMO社が国内最大規模のホワイトハッカーを迎えたとの記事がありました。
従業員数200名からなる株式会社イエラエセキュリティを連結子会社とし、インターネットインフラサービスの提供に付加価値をつけるべく、サイバーセキュリティ事業を組み合わせていくものと思われます。次回以降、改めてイエラエセキュリティ社のサービスを見ていくこととします。
さて、どんなプロジェクトであれ、通常であれば、計画を立てて順序通り進めていくべきところですが、こうも激変する世界の中では計画立案の時間を可能な限り短縮し、多種多様な活動を同時並行で、かつ出来得る限り整合を取りつつ進めていかなければ、現状のサイバー空間での安全は保障されないものと考えます。ホワイトハッカーによるペネトレーションテストに必要となるコストは、企業規模やテスト内容によりピンきりのようですが、CSMS/SUMSの整備をコツコツと積み上げるだけでなく、出し惜しみをせず打てる手を総動員して迎撃すべき状況に、既になっているのかもしれません。
