ニュース
自動車業界は、来たるサイバーセキュリティ上の規制に、未だ十分な対応が出来ていない
2021年9月30日
自動車業界は、来たるサイバーセキュリティ上の規制に、未だ十分な対応が出来ていない
〜サイベラム社とAutomotive Security Research Group (ASRG) との共同による最新調査結果より〜
世界Top50の自動車関連OEM企業、及びTier-1-2レベルのサプライヤーに対する、脆弱性とその脅威への準備に関する調査結果
イスラエル テルアビブ発 – 2021年9月8日 自動車部品セキュリティに関するライフサイクルマネジメントのリーダー企業であるサイベラム社と、Automotive Security Research Group (ASRG)は、この度、世界の自動車関連OEM企業、及びTier-1-2レベルのサプライヤーが、どのように自社製品のサイバーセキュリティ上の脆弱性に対応しているかを問う共同調査を実施、本日付でその結果を発表致しました。
「UNECE(国連欧州経済委員会)の作業部会であるWP29(自動車基準調和世界フォーラム)が策定し且つ採択したUNECE規則サイバーセキュリティ(UN-R155)が、日本、韓国、EUの各マーケットで順次進行段階にあり、サイバーセキュリティに関する新しい国際規格であるISO/SAE 21434が正式に施行されたこの状況下に於いて、今回の調査対象の3割もの企業が、未だこのサイバーセキュリティ上の規制に対し”何ら準備を行なっていない”と回答し、さらに”この規制に対してしっかり対応している”と答えた企業がたったの6%に留まった事は、自動車業界にとって非常に憂慮すべき事態であると言えましょう。」
今回の調査結果を受け、ASRGの創業者であるジョン・ヘルドレス氏は、業界に対してこう警鐘を鳴らしています。「2022年を迎えるにあたり、自動車産業に於けるサイバーセキュリティへの対処問題は、最早『先進的な成功事例』などではありません。それは『業界として対処しなければならない必須事項』であり、この新たな時代を迎えるにあたり、各企業は、サイバーセキュリティ問題への対応に向け、早急なギア・チェンジを行うべき時期を迎えているのだ、という事をしっかり認識すべきなのです。」
報告書によると、自動車業界の各企業は、来たるサイバーセキュリティ上の規制に十分な対応が出来ておらず、組織内のITセキュリティ対応に未だ遅れをとっています。以下が、その裏付けとなるデータです。
● 63%の企業が、自身の製品の脆弱性マネジメントプロセスを、未だ自動化する事が出来ていない、と回答している。
● 65%の企業が、新たな脆弱性へのタイムリーな対処は、未だ開発途上の課題であると考えている。
● 43%の企業が、サイバーセキュリティ上の安全評価に時間を要するのは、それが手作業でしか行えないからであると答えており、42%の企業は、そういった作業をサプライチェーン上の異なる企業間で共同して行うことが出来ないからであると回答している。
● 74%の企業は、サイバーセキュリティ上の脆弱性を、製品製造完了後の継続的なモニタリング過程を通じて、自動的に対処したいと考えている。
● 将来的なUNECE WP.29 R155の規制にしっかりと対処できていると回答した企業は、全体の6%のみに留まっている。
「自動車業界は、ここ何十年もの間、その基本的な製造工程にそれほど大きな変化はありませんでした。しかし昨今の絶えざるサイバーリスク脅威と、新たな規制上の要件によって、サイバーセキュリティ上の脆弱性という問題に対し、全く新たなアプローチの必要性を迫られているのです。」と、サイベラム社のCEOであるスラバ・ブロンフマンは述べています。「こういった問題に対する手作業での管理体制は、過去に於いては有効であったかもしれません。しかし、現代のこの環境に於いては、これは到底満足のいく解決策とはなり得ません。今回のこの調査は、自動車業界に於ける喫緊の課題が、サイバーセキュリティ上の脆弱性の克服に向けた、製品の安全評価の自動化、そして製品製造後のセキュリティ保全課程の自動化である事を明らかにしてくれました。」
サイベラム – ASRGの共同調査レポートは、自動車に於けるサイバーセキュリティと、その脆弱性マネジメントに関して、現状の規制への対処法から、様々な脆弱性管理のケースを克服するための平均的な作業時間に至るまで、幅広い分野をカバーしています。
本レポートの完全版(英文)は、こちらのリンクから入手可能ですhttps://automotive.cybellum.com/resource/cybersecurity-regulations-readiness-asrg-survey/
【サイベラム社について】
サイベラム社は、ネット接続される部品の各製品メーカー、そして各サプライヤーに対して、各製品上のライフサイクル全ての段階で、あらゆるセキュリティ上のリスクを発見し、修正する技術を提供致します。私どもの「エージェントレス」技術により、製品に組み込まれているソフトウェアコンポーネント群はその都度的確にスキャンされ、それぞれのソースコードにアクセスする事なく、サイバー上の脅威が明らかにされていくのです。この分析により、実害発現前のサイバーリスクの除去に向け、開発段階や製造段階に於ける素早い対応を可能にすると共に、製品が実際に運用されている段階においても、それぞれの製品に害を成す脅威を継続的にモニタリングしていく事を可能にします。
■ https://automotive.cybellum.com/
【ASRGについて】
Automotive Security Research Group (ASRG) は、自動車産業に於けるセキュリティ関連市場の進化を目的としたNPO団体です。当組織の知見、ネットワーク、そして各企業との共同作業を通じ、全世界44ヵ国、8,000を超える企業の皆様に、自動車産業に於ける更に進化したセキュリティ上の解決策をお届けしています。より詳細をお知りになりたい方、自国の自動車産業に影響を及ぼしたいとお考えの方、技術上の討議委員会に参加をご希望の方、そしてこのプロジェクト自体に参加をご希望の方は、是非ご連絡下さい。より詳細な情報は、www.asrg.ioまでアクセス頂くか、hello@asrg.io宛にメールをお送り下さい。
Cybellum ホームページはこちら