さて、まずは前回↓の復習から。用語がたくさん出てきたのでおさらいしましょう。
さくっとまとめると、
国連に設けられているUNECE、欧州経済委員会という欧州(だけではなくもう少し広い地域を指すようですが)の経済を促進していこう、という委員会の下に、WP29、自動車基準調和世界フォーラムがある、という構造を理解しました。
また、2020年6月24日に開催されたWP29にて、自動車のサイバーセキュリティとソフトウェアアップデートに関する国際基準、UN規則が成立した、というところまで記事を読んできました。で、UN規則におけるサイバーセキュリティ及びソフトウェアアップデートの国際基準の主な要件の細目を見ていこうというわけです。
が、、、MONOistの記事では語られていないのですが、pwcさんのサイトだともう1段階下の分科会にも触れていましたので、構造を再整理し直すところから再開します。
WP29の下には6つのWorking Party(Groupe de Rapporteurs - GR)があり、自動運転を検討するGRがWorking Party on Automated/Autonomous and Connected Vehiclesで、GRVAと呼ばれているようです。
そしてそして、GRVAの下にさらに専門家会議なるものがあるようで、サイバーセキュリティ専門家会議において、UN規則におけるサイバーセキュリティ及びソフトウェアアップデートの国際基準の主な要件は検討されているとのことです。
※本当は1958年協定のことにも触れるべきだとは思うのですが、早く中身に触れたいので、別の機会とさせて下さい。。。詳細は下記ご参照を。
https://www.mlit.go.jp/common/000036077.pdf
はい、ではやっと本題となりますが、改めてMONOistの記事に即して見ていきます。pwcさんは独自の観点でまとめておられるようなので、いずれはそちらも考慮してみたいとは思いますが、まずは議論の軸としてMONOistの記事を主に進めてみます。
サイバーセキュリティ、そしてソフトウェアアップデートについて、「組織」と「車両」という切り口でまとめています。
1. サイバーセキュリティと「組織」
わたしなりの簡易的な解釈をあえてしますが、出来上がった車両のサイバーセキュリティよりも先に、まずは自動車メーカーという「組織」として、サイバーセキュリティ対策を適切に実施できているね、という認可を得る必要がある、ということのようです。認可当局から最長3年間有効となる「組織」に対する適合証を持った上で、車両の認可を受ける必要がある、という流れです。まあ、ごもっともですよね。
この「組織」認可を受けるために サイバーセキュリティ管理システム(Cyber Security Management System、CSMS) なるものが必要となってきます。
CSMSとは、
サイバーセキュリティに関連するリスクを処理し、自動車をサイバー攻撃から保護するための組織的なプロセス、責任及び管理を明確化した、組織的なリスクベースのアプローチ
だそうです。。。(ITベンダーが好きそうな言葉だこと)
開発から製造、使用中、そして廃車となるまでに想定されるサイバー脅威に対し、どのように「組織」として対処するのか、その業務プロセスを明らかにしておきなさい、という理解にここでは留めておきたいと思います。一応、細かく、ホニャララをホニャララするためのプロセス、みたいなのがたくさん定義されているのですが(下記MONOist記事をご参照)、別の機会にします。まずは大枠の理解が大切と考えます。
2. サイバーセキュリティと「車両」
さて次にサイバーセキュリティと「車両」という切り口で考えてみたいと思います。まずは国交省のイメージから。
この軸で書いてみようと言っておきながら申し訳ないのですが、「組織」がサイバーセキュリティに対応するプロセスを兼ね備えているならば、自ずとそこから出来上がる製品としての「車両」もサイバーセキュリティの要件を満たすのでは・・・と思ってしまいました。資料に記載されているサプライチェーン全体を通じた必要な情報収集と検証、といったあたりは特に、自社だけでなく重要部品を調達するサプライヤーの管理もしなきゃダメよ、という「組織」論に聞こえるのですが。
確かに、USBポートから攻撃受けないようにね、とか、OTA*1で車載アプリを更新する際の攻撃や、そもそもOTAサーバ自体がきちんと守られてるよね、みたいな話は「車両」という軸で検討すべき内容かもしれません。が、「組織」と比較するとスコープとしてはだいぶ絞られるような気もします。こちらも追々、型式認証の要件を細かく見ていくこととします。
そんなわけで、MONOistの記事を参照しつつ、WP29を理解し、そこで決まったUN規則の内、まずはサイバーセキュリティについて、その概観をさくっと見てきました。まだまだ掘り下げるべきは残っていますが、今回はここまでとし、次回はソフトウェアアップデートについて記事の後半を参照しつつ読み砕いてはいきます。