2026年5月から義務化開始。UNR-155とISO/SAE 21434への対策とは

自動車業界のセキュリティ動向

自動車へのハッキング論文は、2000年に初めて公開されました。当時は注目されていませんでしたが、2015年に状況が一変します。

• 2015年の転換点: ジープ・チェロキーへの遠隔ハッキングが可能であるという論文が発表され、140万台のリコールに発展しました。これがサイバーセキュリティを原因とした初めてのリコールとなり、業界に大きな衝撃を与えました。 
• 法規化・標準化の開始: UNECEのWP.29でサイバーセキュリティとOTA（Over-The-Air）のタスクフォースが発足し、法規化の議論が開始。同時にISOとSAEがジョイントワーキングを組み、「ISO/SAE 21434」の議論も始まりました。 
• 2021年: 1月に自動車サイバーセキュリティ対策を義務化する法規「UNR-155」が発行。8月には「ISO/SAE 21434」の正式版が発行されました。 
• 現在の状況: 2026年5月までには、販売するすべての車両（OTA非対応の継続生産車を含む）に対してサイバーセキュリティ対策を完了させる必要があります。 

サイバーセキュリティ法規「UNR-155」の解説

UNR-155は、全12章のメインコンテンツと5つのAnnex 5アネックス（附属書）で構成されています。

• Annex 5の重要性: 想定すべき脅威とその対策の一覧が記載されており、法規適合に向けて必須の内容です。 
• 適合のための2大ポイント: 
  1. CSMS（サイバーセキュリティマネジメントシステム）の適合確認: 組織としてプロセスが構築されていることの証明。有効期間は最大3年で、更新が必要です。 
  2. 車両の型式認証（認可）: 個別の車両がサイバーセキュリティ要求を満たし、CSMSに従って作られているかの確認。 
• 日本での扱い: 道路運送車両法の保安基準の一部として織り込まれており、対策されていない車両は出荷・販売ができなくなります。 

サプライチェーンへの影響とISO/SAE 21434

UNR-155の適合は、OEM（完成車メーカー）だけでなく、サプライチェーン全体に適用されます。

• サプライヤーの義務: 各サプライヤーにおいても、CSMSの構築と運用が必要です。 
• ISO/SAE 21434の役割: CSMS構築の参考となる規格です。車両の電気・電子システムのコンセプトから廃棄までをスコープとし、保護対象は「ロードユーザー（運転手、同乗者、歩行者）」として定義されています。 
• 注意点: 企業そのものへの損害（経営リスク）は規格の保護対象外ですが、各企業が独自に追加することは可能です。また、車外のサーバー（バックエンド）に対する対策は、ISO 27000シリーズなどを参考にする必要があります。 

組織のサイバーセキュリティ管理とガバナンス

ISO/SAE 21434の第5章「組織のサイバーセキュリティマネジメント」では、サイバーセキュリティガバナンスの構築が要求されています。

• サイバーセキュリティポリシーの策定: 経営リスクの一つとして取り組み方針を宣言します。 
• ルールとプロセスの構築: 文書管理、変更管理、構成管理などの品質管理に加え、製造プロセス（IEC 62443参照）やツール管理（暗号鍵の取り扱いなど）のプロセスを策定します。 
• 教育の必要性: 割り当てられたリソースに対し、役割に応じたスキル定義と教育を実施し、意識を高めることが重要です。 
• サイバーセキュリティ監査: 仕組みが適切に実行されているかを定期的に確認する必要があります。 

【経済産業省の手引の活用】 「サイバーセキュリティ体制の構築・人材確保の手引」が参考になります。経営層が主導し、全社的な体制と予算を確保した上で、適切なトレーニングを施すことが、体制を機能させるポイントです。 

サイバーセキュリティ教育に向けた課題と解決策

法規や規格の解釈は難しく、「具体的に何を現場に伝えればいいのか」「外部組織にどう対応を求めるべきか」という課題があります。

• 教育のステップ
  1. 基礎知識の浸透: 全社員に対し、UNR-155やISO/SAE 21434、P-SIRT（製品セキュリティインシデント対応チーム）の概要を教育。 
  2. 役割別教育:
     • 経営層・管理者: リスク管理、体制・人材確保の理解。 
     • 開発部署: セキュリティ開発プロセス、対策技術（脅威分析、脆弱性分析）の習得。 
     • 製造部署: 設備対策、暗号鍵の取り扱い。 
     • 品質保証・購買: アセスメント、監査、サプライヤーとの契約（CIA）の進め方。 
• 教育実施のハードル: 専門家が多忙で教える時間がない、受講者のレベル差がある、業務が忙しく全員集まって教育ができないといった課題があります。 

「WiZNAR Secure (ウィズナーセキュア ) 」のご紹介

これらの課題を解決するために、オンデマンド型のセミナーツール「WiZNAR Secure （ウィズナーセキュア ）」を提供しています。

• 特徴: ウェブ接続で「いつでも・どこでも・何度でも」学習可能。 
• 内容: 全16回（各回約30分）。法規・動向から、エンジニア向けの脅威分析、脆弱性診断、リスクアセスメントまで網羅。各回の最後に習得度チェック問題があります。さらに、QA対応も実施しておりますので、 受講後の疑問点についても安心してご相談いただけます。

まとめ

自動車へのハッキング事例は急増しており、リコールを防ぐためのセキュリティ対策は急務です。

1. UNR-155により、CSMS認証が必須。 
2. CSMSの構築に加え、それに従ったセキュリティ開発が必要。 
3. これはサプライヤーを含むサプライチェーン全体の要件である。 

教育とトレーニングを通じてガバナンスを強化し、法規への確実な対応を進めていただきたいと思います。

質疑応答

Q1：USBインターフェースに関するISO/SAE 21434での議論について
回答: USBは「アタックサーフェス（攻撃の入り口）」として認識されており、対策は必須です。具体的な対策内容は、OEM各社の考え方や機密に関わるため詳細な回答は差し控えますが、重要な議論の対象となっています。

Q2：ロードユーザーに「車両所有者」は含まれるか？
回答: 含まれます。運転手、同乗者、歩行者など、車両の安全やプライバシー（財産的、運用的側面も含む）に関わる人は保護対象です。例えば、攻撃によりハンドル制御が奪われ怪我をさせるような事態を防ぐことが「保護」にあたります。

Q3：経営層が旗振りをできていない場合、どう動くべきか？成功事例は？
回答: 品質保証部門から「法規に対応しないと製品が売れなくなる（リコールリスク）」と訴えかけるのが有効です。また、OEMからの要求事項を具体的に提示することで、経営層の納得感を得やすくなります。

Q4：セキュリティ対応はいつから始めるべきか？
回答: すぐに始めてください。法規の日程はすでに進んでいます。また、ISO/SAE 21434では外注先の「開発能力評価」も求められるため、準備ができていないと受注機会を逃すリスクがあります。

Q5：開発担当と量産後のP-SIRT担当は分けるべきか？リーダーは誰が適切か？
回答: 組織規模によります。大規模組織では、開発プロジェクト終了後も続くモニタリング業務を専任のP-SIRTが行うのが一般的です。小規模な場合は開発部署内での管理も考えられます。リーダーは、社内の製品を広く把握している品質保証部門の方が適任であるケースが多いです。

Q6：WiZNAR Secureの採用実績は？
回答: 弊社のサイバーセキュリティ支援全体では延べ100社程度の実績があります。WiZNAR Secure単体では、既に10社程度でご購入・ご評価いただいております。