事例紹介 三菱自動車
自動車業界は大変革期にあり、コネクティッド技術もその一つです。コネクティッドカーは自動車をネットワーク接続してIoT化し、ソフトウェア更新やリモート操作を可能にします。三菱自動車ではこれを活用したスマート充電サービスなどの商用化を目指していますが、ネットワーク接続に伴いセキュリティリスクも増加しており、各社は技術革新と共にセキュリティ対策強化を進めています。
3分(読了目安時間)
自動車のサイバーセキュリティを管理する初の国際規制であるUN-R155は、2022年に適用が段階的に開始されました。UN-R155では、サイバーセキュティ観点での脅威分析およびリスクアセスメント(TARA)の実施が要求されています。TARAについては、ISO/SAE 21434によって国際標準化されているものの、それを理解し、効果的なプロセスに落とし込み、実行するためには、当該法規の理解、サイバーセキュリティに関する高い専門性、適切な関係者を巻き込んだ推進力が求められます。
TARAを含むUN-R155へ対応するため、国内の自動車完成車メーカーは車両サイバーセキュリティ人材の育成・採用を進めています。一方で、本領域は自動車とサイバーセキュリティ双方の知見が求められる新たな分野であり、プロフェッショナル人材はまだまだ少ないのが現状です。結果として、TARAにおいてはアセッサー個人の技量に依存せざるを得ず、一貫した品質の担保が難しいというリスクが存在します。
また、サイバーセキュリティ対応は一過性のものではなく、継続的な対応が求められます。新規サービス開発における仕様整理は一品一様な活動となりますが、サイバーセキュリティ対応については“勘と経験”、“気合と根性”に頼らないシステマティックな効率化が必要です。一方で、守るべき資産(機能やデータ)が増えるほど、TARAは複雑化・膨大化する特性があります。
三菱自動車においても、MITSUBISHI CONNECTによって、エアコンや充電のリモート操作、ドアの不正開錠時におけるセキュリティアラーム通知など、「快適」「安心」「つながる」機能を提供しており、今後もユーザーのカーライフをさらに便利にする先進機能が追加される見込みです。その度にTARAを実施する必要がありますが、数千件以上にもなるリスクの分析結果をExcelなどのドキュメントで管理すると、過去結果の再利用が困難であり、かつ効率性の観点で限界があります。
三菱自動車としても、外部環境が目まぐるしく変化する中、スピード感を持って対応する必要があり、当時大きな危機感がありました。
今回、アクセンチュア インドオフィスのサイバーセキュリティ専門家と協力し、TARAを実行するプラットフォームをマネージドサービスとして三菱自動車に提供しました。アクセンチュアは、本サービスを提供するにあたり、多数のソリューションベンダと協議し、品質、コスト、所要時間など複数の観点からツールの評価を行い、最も評価が高かったC2A Security社のTARAツール(EVSec Analysis)を選定・展開しています。サイバーセキュリティ対応のプロセスは、自動車メーカーごとに異なりますが、EVSec Analysisはプロセスに合わせて柔軟な設定ができ、アセッサーは効率的に作業を進めることができます。また、車両のサイバーセキュリティにおいては、車両側(オンボード)とバックエンド側(オフボード)の観点を考慮する必要がありますが、EVSec Analysisでは、オンボードとオフボードを一気通貫で車両システム全体のTARAが可能となる点も特徴です。
アクセンチュアは、これまでにも三菱自動車のコネクティッドサービスを対象としたTARAを支援した実績があり、既に三菱自動車のサイバーセキュリティに関するプロセスに対する深い理解を有しています。三菱自動車のプロセスを理解した日本国内のメンバーが取り纏めながら、グローバルな知見とソリューションを活用できる体制・サービスを構築しました。三菱自動車としても、Excelによる運用に限界を感じ、新たなソリューションを模索していた背景があり、今回のプロジェクトを開始するに至りました。
TARAの実行においてはユースケースに対する理解と、その情報を適切にアセッサーに伝える必要があり、これはTARAの実行ツールに関わらず必須の活動です。具体的には、分析対象であるコネクティッドサービスの仕様を整理し、ツールの処理ロジックを適切に設定し、分析結果のサイバーセキュリティ要件をサプライヤーに適切に伝え、必要に応じて再度ツールを回すという循環の中で、効果的にツールを活用する必要があります。本プロジェクトではこの要諦を三菱自動車の担当者が深く理解し、社内の関係者と綿密に連携し整理した上でアセッサーに提供することで、両社が一体となって推進し成果を上げることができました。
セキュアかつ先進的なコネクティッドサービスをいち早く市場に展開したいという思いがあり、法令順守のための外部のプロフェッショナルを必要としていました。プロセス設計からTARAの実行までワンストップで伴走したアクセンチュアの専門性と推進力に加えて、C2A Security社のソリューションによって短期間で一貫した品質のTARAが実現できました。
三菱自動車工業株式会社 モビリティビジネス本部 本部長補佐 井上英昭氏
サイバーセキュリティ対応は専門家だけの仕事ではなく、ワンチームで取り組むべき課題です。我々の一元化されたプラットフォームを活用することで、社内の他部署、サプライヤー、コンサルティング会社などのパートナーとのコラボレーションを容易にし、効率的かつ迅速な意思決定が可能となります。これはリソースとコストを削減するための非常に重要なポイントです。
C2A Security社 CEO Roy Fridman氏
三菱自動車は業界最先端のTARAサービスを活用することで、TARAの期間とコストを従来の約半分としました。専用ツールゆえの分かりやすいユーザーインターフェースによって、担当者のプロセス理解促進、作業工数の削減に繋がりました。さらに、リスクレベルの算出方法など三菱自動車のプロセスを予めTARAサービスに組み込むことでアセッサー個人の技量依存となっていた問題を解消しました。
これにより、コネクティッドサービスをより早くユーザーに提供することが可能となり、ユーザーの利便性や満足度の向上に繋がることになります。
「今後、モビリティビジネス本部としては、①エネルギーマネジメント、②バッテリーの再利用、③OTA(Over the Air)、④データビジネスの4つを柱として新たなビジネスを創出していきます。それらを安全・安心かつ迅速にビジネス展開していくためには、サイバーセキュリティ対応は重要な位置付けとなります。」(井上本部長補佐)
また、サイバーセキュリティ対応は定期的に見直すことが重要ですが、過去の分析結果再利用が容易となり、継続的改善プロセスに組み込むことが出来るようになります。
「我々のプラットフォームを活用することで、TARAだけではなく、製品ライフサイクル全体でリスクを管理し、プロセスを自動化することで、セキュアなソフトウェア開発と運用(DevSecOps)の実現が可能となります。」(Roy Fridman CEO)
アクセンチュアは、車両サイバーセキュリティ専門家を多く有しており、インドにTARAのアセッサーを集約することで、スケーラビリティをもってグローバルにサービス展開が可能となります。
「アクセンチュアには様々な業界のIoT、コネクティッドサービスの知見があります。それらのプラクティスを自動車業界から医療などの他業界に展開し、そして、他業界から自動車業界に還元するなど、各業界をサポートしていきたいと考えています。」(アクセンチュア堀川)
自動運転やコネクティッドサービスの脆弱性が悪用されると、乗客や周囲の人々の安全やプライバシーなどを脅かすことになり、社会全体に深刻な影響を与える可能性があります。自動車業界へのサイバーセキュリティの支援を通じて、安全・安心な次世代モビリティ社会の実現へ貢献したいと考えています。
(左から:堀川、井上本部長補佐、Roy Fridman CEO)