自動車のソフトウェア化 / SDV 化が進んでいます。車載組み込みシステムと車外のシステム連携が拡大し、今や、自動車の機能・価値は、ソフトウェアで決まるといっても過言ではありません。たとえば、フォルクスワーゲン・グループは自社内でのソフトウェア開発を増やし、車載ソフトウェアの自社開発を強化しています。
今後、自動運転ソフトウェア、インフォテインメント機能の高度化、車両の電気・電子 (E / E) アーキテクチャの領域で開発投資が大きく増加すると見込まれる一方で、車載システム等が意図せずサイバー攻撃の加担者にされてしまうリスクに対応すべく、車両の機能安全とサイバーセキュリティ (CS) の統合管理が急務です。
そこで本記事では、車両をサイバー攻撃から守るための国連規則「UN-R155 (CSMS) / R156 (SUMS)」をはじめ、サイバー攻撃から防衛するために役立つ規格を紹介します。
法規準拠を支援する PTC 社のソリューションについても紹介しますので、開発プロセスの監査証跡提示が必須化され、対応に苦慮されている担当者の方はぜひ参考にしてください。
車両の SDV 化と増大するサイバーセキュリティ上のリスクとは
自動車がソフトウェア中心 (Software Defined Vehicle:SDV)」になるとは、車両の機能・価値が、エンジンなどのハードウェアではなく、組み込まれたソフトウェアによって定義・決定されることを意味します。
SDV は、OTA (Over The Air) によるソフトウェアの更新によって最新機能の追加や性能の向上を図る車両です。そのため、車両機能を最新の状態に維持したり、運転支援機能を拡充したり、音楽・動画など娯楽機能を追加したりすることで、購入後も車両が進化し続ける点に特徴があります。
経産省と国交省による「モビリティDX戦略」2025年のアップデート(モビリティDX戦略2025)の中でも、「SDV は、車両性能のアップデートによりユーザーのニーズを継続的に捉えられる競争力の高い製品」とされています。
政府は、とくに自動運転領域を重要技術とみなし、自動運転モデルの重要性や SDV 開発に適応した産業構造への転換を推進する考えです。
ソフトウェア中心への移行と増大するサイバーセキュリティ上の脅威
つながるクルマなどコネクティビティーの拡大によって、サイバー攻撃の侵入口や攻撃対象領域も、ハードウェアからソフトウェアへとシフトしています。
これにより、攻撃者は世界のどこからでもネットワークを介して SDV に攻撃を仕掛けられるようになったため、従来とは異なるサイバーセキュリティ (CS) のリスクが増大しているのです。
たとえば、モビリティDX戦略2025年では、SDV化に伴う CS リスクとして次の13点が挙げられています。
- 車両のハイジャック
- サービス妨害 (DoS) 攻撃
- 仮想化のリスク
- ネットワークのリスク
- 自律走行特有のリスク
- OTA アップデートの悪用
- サプライチェーン (SC) の脆弱性
- レガシーシステムのリスク
- クラウドとバックエンドの脆弱性
- データ盗難とプライバシー侵害
- サードパーティとの統合リスク
- ランサムウェアと恐喝
- フリート特有の攻撃
高度に複雑化かつ多層化したソフトウェア・サプライチェーンの存在も、セキュリティリスクを高めている要因の1つです。
SDV のソフトウェアは、OS、ミドルウェア、アプリケーションのレイヤー(階層)で構成されており、一般的に各階層ごとに異なるサプライヤーから供給されています。そのため、オープンソースソフトウェア (OSS) の採用が拡大しており、外部から不正なコードが混入されるといった SC の脆弱性を狙ったリスクが高まっているのです。
ソフトウェア・サプライチェーンの複雑化に伴うセキュリティリスクの詳細は、こちらのブログ記事でも詳しく解説しています。
SDV 台頭に伴うクルマづくりやビジネスモデルの大きな変化
技術革新に伴い、車両の開発プロセスや SC 構造が大きく変化しています。たとえば、EV や自動運転等、車両の開発には広範な技術が求められるようになりました。そのため OEM 個社ですべてを賄うのは難しく、モデルベース開発の外注比率は増加する傾向にあります。
また EV や自動運転の普及は、軽量化素材や電子制御を支える半導体の重要性、そして動力や運転制御に必要なソフトウェアの価値を高めました。今後も、これらのノウハウを持つメーカーやソフトウェアベンダーの付加価値は増加するでしょう。
実際に、フォルクスワーゲン・グループなどのグローバルOEMが、Codebeamer を次世代車両開発の戦略的プラットフォームとして採用した事例は、今後の標準モデルと言えます。
関連ニュース:PTC、フォルクスワーゲン・グループの戦略的サプライヤーとして ALM ソリューションの「Codebeamer」を提供
リスク対応を求める UN-R155 (CSMS) / R156 (SUMS)
SDV では、OTA(無線通信経由)でソフトウェアを機動的にアップデートする必要があるため、OTAプロセスの侵害といった脅威に対応しなくてはなりません。そこで、ハッキングや不正なソフトウェア更新を防ぐために、国連欧州経済委員会(UNECE)は UN-R155 / R156 を定めました。
これらの規則は、自動車 OEM に対して「サイバーセキュリティ管理(CSMS)」と「安全な更新手順(SUMS)」の体制構築が義務化されるものであり、日本でも UN-R155 / R156 を反映した規制適用が開始されています。
ISO 26262 とサイバーセキュリティの統合管理が急務な理由
安全性向上などに役立つ組み込みシステムが、万が一誤作動を引き起こすと、逆に危険を引き起こす可能性があります。E / E システムなどに異常が発生した際に、フェールセーフ機能などを働かせて、人や周囲への危害を許容可能なリスクレベルに低減する取り組みが必要です。
そこでソフトウェアを含む車載システムに特化し、その開発・設計手法を示した機能安全規格 ISO 26262 が定められました。
ISO 26262 は、安全性確保のためのベストプラクティスをまとめたものです。ハードウェアの信頼性は部品の故障率から積み上げて計算する一方、ソフトウェアの信頼性はプロセスにより確保するとされています。
なお、ISO 26262では、自動車向け安全度水準 (ASIL) ごとに規定された必須技法によって開発されたソフトウェアは、十分な信頼性があるとみなされる点を押さえておきましょう。
留意したい点として、規格準拠を進める上で、多くの組織が陥りやすい「落とし穴」があります。専門家が分析した「よくあるミス」をあらかじめ把握しておくことで、手戻りのない開発プロセスを構築できます。
ISO 26262 が自動車業界にもたらす機能安全
ISO 26262 に準拠する際に陥りやすい8つの失敗と回避するための対策について詳しく解説します。
詳細はこちらしかし、SDV 時代のクルマづくりにおいては、こうした機能安全の確保だけでは十分とは言えません。安全 (Safety) を守るためには、その入り口となるサイバーセキュリティ (Security) との統合的な管理が不可欠となっているのです。
では、なぜ今、これら二つの領域を切り離して考えることができないのでしょうか。その具体的なリスクと、統合管理が急務とされる背景を解説します。
セキュリティ侵害が安全への脅威に
安全対策だけではセキュリティ対策として十分とは言えません。実際に、故障によって起きる確率が非常に低い事象であっても、意図的な操作など故意のサイバー攻撃では起こりえるためです。安全のために設けた緊急停止機能が、侵入口になるケースも考えられるでしょう。
たとえば、2015年には、著名ハッカーが「ジープ・チェロキー」の脆弱性を指摘し、外部から遠隔操作が可能であることを実証した結果、約140万台という大規模リコールに発展し、自動車業界全体に対して「サイバーセキュリティが物理的な安全を脅かす」という事実を強く再認識させる大きな転換点となりました。
一方で、こうした脅威を克服し、安全性とセキュリティの両立を実現している先駆的な事例もあります。世界最先端の自動車開発を影で支える部品供給メーカーである Veoneer 社は、Codebeamer を導入することで、厳格な安全基準を満たしながら次世代の安全システム構築を実現しています。
事例を詳しく見る: Veoneer 社、自動車の安全性の向上を目指して PTC の Codebeamer を標準ツールとして導入
法規制の型式認証への影響 (UN-R155 / R156)
国連規則 UN-R155 / R156 により、サイバーセキュリティ管理システム (CSMS)とソフトウェアアップデート (SUMS) の構築が、型式認証の必須条件になりました。
UN-R155 / R156 は、型式認証を相互承認するための協定規則であり、欧州諸国など批准国で法規化されています。日本でも「道路運送車両の保安基準の細目を定める告示(国土交通省)」の一部改正によって法規化されているため、自動車 OEM は準拠するための対応が必要になります。
統合された管理体制を証明できない場合は、UN-R155 / R156 認証(能力基準適合証明書)を受けられず、結果として欧州諸国や日本で自動車の登録・販売ができません。自動車 OEM だけでなく、サプライヤーに対しても、安全とセキュリティの両立を証明するプロセス構築が強く求められることを押さえておきましょう。
なお、ISO / SAE 21434 への適合は、国際規則 UN - R155 / 156に基づく型式認証を取得するためのガイドラインとして有効です。
開発プロセスの効率化と整合性
自動車業界において、機能安全 (ISO 26262) とサイバーセキュリティ (ISO/SAE 21434) を完全に切り離して考えるのは困難です。その背景には、脅威は変化し続けるという「不確実性」と「動的な変化」があり、その時点で考えうるリスクを、いかに論理的に説明可能なプロセスで管理していくかが鍵となります。
そこでまずは「セキュリティの侵害が、いかに安全(Safety)を脅かすか」という視点で ISO 26262 と ISO / SAE 21434 を統合させることが重要です。
いずれの規格も下記のとおり「リスクアセスメント」を重視しており、個別に運用すると、重複する脅威の看過やリソースの浪費を招く恐れがあるため、統合による最適化が急務なのです。
- ISO 26262で定義される HARA (Hazard Analysis and Risk Assessment)
- ISO / SAE 21434で定義される TARA (Threat Analysis and Risk Assessment)
では、このような機能安全とサイバーセキュリティが交差する複雑なコンプライアンス対応を、いかに現場の負荷を抑えて効率化すべきなのでしょうか。その具体的な手法については、下記の資料で詳しく解説しています。
ISO 26262 / ASPICE 対応 成果物テンプレート活用ガイド
認証審査で求められる膨大なエビデンスをどう管理するか?実務を効率化するテンプレートの活用法を解説します。
詳細はこちら工場の制御システムをサイバー攻撃から守る IEC 62443
サイバー攻撃の対象は、走行中の車両や情報システムだけではありません。ものづくりの現場においても、工場のスマート化によってサイバー空間とつながる工場が増えています。
関連記事:スマートファクトリーのロードマップにおける PLM の役割
このように工場が外部ネットワークと接続されるようになったことで、近年の制御システムにおいても、OSS の利用が進んでいるほか、サプライチェーンの脆弱性を対象にした脅威が増加しています。
ISA / IEC 62443 の全体像
そこで、工場の OT 系システムをサイバー攻撃から守るために開発されたのが、制御システムのセキュリティの国際標準規格「ISA / IEC 62443」です。
IEC 62443 CSMS は、産業オートメーションおよび制御システム(IACS)を保護するための構造化されたリスクベースのフレームワークです。
下図のとおり、5つのグループから構成されており、発行済みに加えて策定・準備中のものを含めると17の規格が存在します。
| カテゴリ | 規格番号 | 名称 |
|---|---|---|
| Part 1 General | 62443-1-1 | Concepts & Models(概念とモデル) |
| 62443-1-2 | Terms & Abbs(用語と略語) | |
| 62443-1-3 | Conformance Metrics(適合性メトリクス) | |
| 62443-1-4 | Security Lifecycle(セキュリティライフサイクル) | |
| 62443-1-5 | Security Profiles(セキュリティプロファイル) | |
| 62443-1-6 | IIoT & Cloud Service(IIoT & クラウドサービス) | |
| Part 2 Policies | 62443-2-1 Ed.2 | Security Program(セキュリティプログラム) |
| PA62443-2-2 | Security Protection(セキュリティ保護) | |
| TR62443-2-3 | Patch Management(パッチ管理) | |
| 62443-2-4 | Service Providers(サービスプロバイダー) | |
| Part 3 System | TR62443-3-1 | Security Technologies(セキュリティ技術) |
| 62443-3-2 | Security Risk Assessment(セキュリティリスクアセスメント) | |
| 62443-3-3 | Reqs, Security Levels(システムセキュリティ要件とSL) | |
| Part 4 Component | 62443-4-1 | Development Lifecycle(開発ライフサイクル) |
| 62443-4-2 | Security Components(セキュリティコンポーネント要件) | |
| Part 6 Conformity | TS62443-6-1 | Service Providers (2-4)(サービスプロバイダーの評価手法) |
| TS62443-6-2 | Components(コンポーネントの評価手法) |
出典:情報セキュリティ白書2025 | IPA
想定されるサイバー攻撃の主体
サイバー攻撃を仕掛ける主体は、概ね下記の5つに分類されており、攻撃技術のレベルもそれぞれ異なります。
- 国家の支援を受けたグループ(最も高度な攻撃者)
- サイバー犯罪組織
- ハクティビスト(サイバー攻撃を通じて社会的・政治的メッセージを発信)
- 悪意のある個人
- 産業スパイ
ISA / IEC-62443-3-3 の概要
7つの基本要件 [FR] において、目指す水準 [SL] に応じた具体的なセキュリティ要件(システム要件 [SR] と強化策 [RE])を実装せよ、というのが 62443-3-3 の核です。
リスクアセスメントの結果に応じて、組織が選択できるセキュリティレベル(SL0 から SL4)が IEC 62443-3-3 において定められています。自動車製造工場において、最高水準である SL4 を選択することは常に必須ではありません。
一方、SDV を支える半導体分野のサプライチェーンは、その安全保障上の重要性の高まりから、国家の支援を受けたグループを想定した対策レベル (SL4) に見合った CSMS を実現する必要があります(半導体デバイス工場における OT セキュリティガイドライン)。
UN-R155、UN-R156 準拠を支援する PTCソリューション
組織的な管理体制(CSMS / SUMS)と、開発全期間にわたる証跡(トレーサビリティ)が UN-R155 / R156 において求められています。PTC では、そのプロセスを「実行し、記録し、証明する」ための基盤として機能するツールを提供しています。
機能安全とサイバーセキュリティの統合管理を実現:Codebeamer
Codebeamerは、ISO / SAE 21434(R155に関連)やISO 24089(R156に関連)といった国際標準規格への準拠を効率化するために設計されています。監査に耐える双方向トレーサビリティを短期間で構築できる点が強みです。
総合的な構成管理ソリューション:PLMの活用
Windchillのサービス情報管理機能では、メカ (Service BOM) とソフト (Software BOM) の両方を包括的に管理・連携できる点が強みです。3D CAD Creo で作成した 3D モデルを起点に、Windchill をハブとして、CAD データと Codebeamer 上の要求・テスト項目を動的に連携させ、メカ・ソフトをまたいだライフサイクル全体の整合性を自動的に維持します。これにより、設計から検証まで一気通貫のトレーサビリティを実現可能です。
SDV 時代は、機能安全とセキュリティは統合管理が必須に
SDV では、車両制御と通信が密接に重なるため、機能安全 (ISO 26262) とサイバーセキュリティ (ISO / SAE 21434) を個別に扱うのは困難です。通信への攻撃が物理的な事故に直結するリスクに対し、両規格を統合した管理体制が、設計から検証までの信頼性担保に不可欠となります。
機能安全とサイバーセキュリティの統合管理は、もはや避けて通れない課題ですが、組織全体でのプロセス構築には多くの壁が存在します。
PTC では、世界中の OEM やサプライヤーを支援してきた豊富な知見に基づき、貴社の現在の開発環境や課題に合わせた最適なロードマップをご提案します。法規準拠への第一歩として、まずは当社のエキスパートにご相談ください。
お問い合わせ
お客様ごとの課題に合わせて、エキスパートが最適なソリューションをご提案します。
詳細はこちら