抱える課題 技術・対策も不足
シノプシスと航空宇宙・自動車産業の技術者や専門家を会員とする非営利団体のSAEは20日、自動車業界向けのセキュリティレポート「最先端の自動車セキュリティ:自動車業界のサイバーセキュリティ・プラクティスに関する調査」を公開した。自動車業界の多くの企業で重大なサイバーセキュリティ上の課題を抱え、対策も不足している実態が明らかになった。
はじめに組織上の課題として、多くの回答者が自社開発のコンポーネンツに対するサイバーセキュリティの危険性と課題を認識しながら、会社の上層部に対してそれを報告できないと感じているという。
今後12カ月以内に車載コンポーネンツにサイバー攻撃を受ける危険性についての質問では、攻撃を受ける可能性が高いと回答した人は62%。また自社開発の車載コンポーネンツの不具合がドライバーに危険を及ぼすことを認識しているかとの質問では52%が認識しており、それを上司に報告できる権限があるかという質問では68%が「ない」と回答した。
それを防ぐために何をしているかという質問では、自社には対策をするようなサイバーセキュリティのプログラムやチームがないという回答が30%と最も多く、サプライヤに限ると40%と高かった。さらにサイバーセキュリティに十分なリソースを割けていない、企業はセキュリティスキルを備えていない、数千人規模の会社でも専任者は平均9人程度しかいないことが分かった。
次いで技術上の課題では、回答者の84%が自社のサイバーセキュリティ対策が車載技術の進化に追いついていないことを懸念している。特に自動運転とインフォマティクス、無線技術の進化がリスクを増大させていると感じているとした。脆弱性が混入する理由としては、納期の余裕がなくて対策ができない、セキュアなコーディングのトレーニングの欠如、意図しないコーディングエラーを挙げた。対策として行っているソフトウエア・アップデートが脆弱性に迅速に対処できているかとの質問では61%が対応できていないとした。
また製品開発とテスト段階の課題について、脆弱性のテストが設計・開発フェーズでとどまっている企業が47%に上り、ライフサイクル全体で行っていない企業が多かった。セキュリティテストもすべての製品が受けている訳ではなかったり、SSDLCプロセスに従っていない企業が36%に上った。
サプライチェーンにおける課題では、もっとも脆弱性でリスクとなっているのはサードパーティーから納入される製品・プログラムだと指摘した声が73%と最多だった。発注先にセキュリティの要求を出していない企業は56%と半分超あり、要求をしている企業でも40%が遵守の徹底に対する仕組みがなかった。
レポートを解説した岡・デニス・健五シニアソリューションアーキテクトは「自動車業界がセキュリティに本格的に取り組んだのはつい最近のこと。IT業界では何十年も前からサイバー攻撃を受けてきて、そのたびにセキュリティが確立していった。自動車はまだ始まったばかりで、これから整備していなかければいけない」とした。
調査は車載部品のセキュリティの実装または評価に携わっている593人のプロフェッショナルを対象に実施。主に北米とヨーロッパの企業を中心に行われた。
オートメーション新聞は、1976年の発行開始以来、45年超にわたって製造業界で働く人々を応援してきたものづくり業界専門メディアです。工場や製造現場、生産設備におけるFAや自動化、ロボットや制御技術・製品のトピックスを中心に、IoTやスマートファクトリー、製造業DX等に関する情報を発信しています。新聞とPDF電子版は月3回の発行、WEBとTwitterは随時更新しています。
