自工会ガイドラインは、一般社団法人日本自動車工業会(自工会・JAMA)と一般社団法人日本自動車部品工業会(部工会・JAPIA)が定めたセキュリティ対策に関するガイドラインです。自動車産業に関わるすべての企業は、自工会ガイドラインに対応するチェックシートに基づき、セキュリティ対策の取り組み状況の自己評価をおこない、その結果を自工会へ提出することが求められています。
この記事では、自工会ガイドラインの要点や、自動車産業でセキュリティ対策が求められる理由、NTTコミュニケーションズが提供する自工会ガイドライン適合支援に関してわかりやすく解説します。
自工会ガイドラインは、自工会と部工会が、共同で策定したガイドラインです。自動車産業全体のサイバーセキュリティ対策レベルの向上や、対策の定期的な点検を推進することが目的とされています。
自工会ガイドラインには、サイバーセキュリティリスク対策において優先的に取り組むべき重要項目や自己評価基準が掲載されています。自動車産業に関わるすべての企業、たとえば自動車メーカーやサプライチェーンの各社は、自工会ガイドラインに沿って自社のサイバーセキュリティ対策レベルを向上させる必要があります。
自工会ガイドラインは2020年に第1版が発行され、2023年9月には第2.1版が発行されました。第2.1版には取り組むべき重要項目が153項目記載されています。
自工会ガイドラインが策定された背景には、自動車産業においてサプライチェーンを狙った攻撃が増加していることが挙げられます。
実際、部品メーカーがサイバー攻撃の一種であるランサムウェア攻撃を受け、取引先である自動車メーカーの工場や生産ラインに影響を及ぼした事件も起こっています。
自動車産業のサプライチェーンは多くの企業で成り立っているため、事業の停止を回避するためにも、各社に早急な対策が求められています。
サイバー攻撃は巧妙化し続けており、企業規模に関係なく継続的にサイバーセキュリティ対策を取る必要があります。そこで自動車産業における対策基準を明示するために、自工会ガイドラインが策定されました。
自工会ガイドラインの概要を、以下の4点に分けて解説します。
第2.1版の対象範囲は、自動車産業に関係するすべての企業におけるエンタープライズ領域に限られています。企業全体のベースとなるOA環境で、どの業務にも共通している事業部門の領域です。
今後の対象範囲は、工場領域や販売領域、コネクテッド領域へと広がる予定です。
自工会ガイドラインの各項目は、レベル1から3までに分けられています。それぞれのレベルの概要は、次のとおりです。
| レベル3(29項目) |
|
|---|---|
| レベル2(74項目) |
以下のどれかに該当する会社が対象
|
| レベル1(50項目) |
|
これは第2.1版における構成であり、今後は対象範囲が拡大する旨が自工会より公表されています。
自工会ガイドラインの活用により、自動車産業における各社のセキュリティ対策レベルの向上が期待されています。
具体的には、以下の画像のようなチェックシートが添付されているため、レベル1〜3の項目ごとの要求事項や達成基準を参考に、自社のセキュリティ対策の取り組み状況の自己評価を実施します。
その結果を毎年12月に自工会へ提出、および、セキュリティ対策レベルの計画的な向上の2点が求められています。
自工会ガイドライン第2.1版時点では、2024年度末を目途に、自動車産業に関わるすべての企業にレベル1・2の全項目を達成するよう依頼されています。
2023年、自工会と部工会が報告した「2022年度自動車産業サプライチェーンへのサイバーセキュリティ推進活動集計データ最終結果公表」によると、2022年度の達成状況は次のとおりです。
| 年度 | 回答総数 | 有効回答総数 | 平均点 |
|---|---|---|---|
| 2021 | 2,300社 | 2,296社 | 70.97点 |
| 2022 | 4,026社 | 3,961社 | 下表を参照 |
| 各社が決めた目標レベル | 会社数 | 平均点 | |||
|---|---|---|---|---|---|
| レベル1 | レベル2 | レベル3 | 総合 | ||
| レベル1 | 679社 | 60.18点 | 60.18点 | ||
| レベル2 | 2,166社 | 78.14点 | 106.25/148点 | 184.39/248点 | |
| レベル3 | 1,116社 | 84.83点 | 118.73/148点 | 37.35/58点 | 240.91/306点 |
| 合計 | 76.95点 | 110.49/148点 | 37.35/58点 | ||
2021年度と比較して、2022年度の回答総数は2倍近く増加しています。自工会・部工会としては、この活動をさらに業界全体に浸透させるため、より多くの企業に対して自己評価の実施と結果の提出を求めています。
自動車産業に関係するすべての企業は自工会ガイドラインへの適合が求められています。継続的に企業のセキュリティ対策レベルを高めていくには、セキュリティツールの導入検討だけでなく、社内の状況を踏まえた規約/ルールの策定・セキュリティ対策のロードマップの策定・運用体制の構築など総合的な検討が必要です。
しかし、検討を進めるにも以下の悩みを抱える方も多くいらっしゃるのではないでしょうか。
これらのお悩みの解決の手段として、NTTコミュニケーションズでは「自動車産業サイバーセキュリティガイドライン適合支援パッケージ」を提供しています。
NTTコミュニケーションズが提供する自動車産業サイバーセキュリティガイドライン適合支援パッケージ(自工会GL適合支援パック)は、自工会ガイドラインの全153項目へ対応するだけでなく、お客さまのセキュリティ対策レベルの向上を継続的に支援するソリューションです。
自工会GL適合支援パックの特徴は、次のとおりです。
最短3か月で対策方針をクイックに策定でき、自工会ガイドラインに含まれていない関連対策も実施可能です。総合的な相談相手として、お客さまのセキュリティ対策レベルの向上を継続的に支援します。
ある化学品メーカーにおいて、自工会ガイドラインのレベル1と2にある全項目への対応完了を直近の目標に設定されており、そこに必要なEDRの導入をNTTコミュニケーションズが支援しました。
EDR(Endpoint Detection and Response)とは、ユーザー端末における不審な挙動を検知して対応する技術のことです。EDRを導入してソフトウェア情報を収集し、既存の資産管理台帳上でハードウェアとソフトウェア情報を管理する、次世代セキュリティシステムを構築しています。
7カ月間で次世代セキュリティシステムを導入し、自工会ガイドラインへの適合を進める工程を組み、実装を支援しました。
「自工会/部工会・サイバーセキュリティガイドライン」(自工会ガイドライン)は、自工会と部工会が共同で策定した、自動車産業向けのガイドラインです。自動車産業を狙うサプライチェーン攻撃の更なる増加が懸念されていることから、自動車産業に関わるすべての企業において自工会ガイドラインへの適合が急務と考えられます。NTTコミュニケーションズでは、自工会ガイドライン適合に向けて迅速かつ柔軟な提案とサポートが可能です。是非お気軽にご相談ください。
このページのトップへ
