自動車業界のサイバーセキュリティ標準：「WP.29 Cybersecurity対応 AWS リファレンス」の無償公開とその意義

自動車業界に求められる
「WP. 29 Cybersecurity 対応 AWSリファレンス」を無償公開

日立システムズ、SCSK、トレンドマイクロ、VicOneが「WP. 29 Cybersecurity 対応 AWSリファレンス」を6月6日に無償公開しました。このリファレンスは、国際的な自動車のサイバーセキュリティ標準「WP.29 UN-R 155」に準拠したAWS環境構築をサポートするためのドキュメントであり、Amazon Web Services(AWS)のパートナー企業が作成し、AWSが事務局として関わっています。

【参照】自動車業界に求められる『WP. 29 Cybersecurity 対応 AWS リファレンス』を無償公開
日立システムズ: https://www.hitachi-systems.com/news/2024/20240606.html
SCSK: https://www.scsk.jp/news/2024/pdf/20240606.pdf
トレンドマイクロ: https://www.trendmicro.com/ja_jp/about/press-release/2024/pr-20240606-01.html
VicOne: https://vicone.com/jp/company/press-releases/vicone-trend-micro-scsk-hitachi-systems-wp-29-cybersecurity-aws/

自動運転やOTA(Over the Air：無線によるソフトウェア更新)技術の普及に伴い、自動車業界におけるサイバーセキュリティの重要性が急激に増しています。そのため、UNECE(国際連合欧州経済委員会)のWP.29(自動車基準調和世界フォーラム)において、サイバーセキュリティ規制「UN-R 155」(サイバーセキュリティおよびサイバーセキュリティマネジメントシステム)および「UN-R 156」(ソフトウェア更新およびソフトウェア更新マネジメントシステム)が策定され、2021年1月22日に発効しました。日本ではこれらの規制が段階的に適用され、2022年7月から新型車両への適用が開始され、2024年7月には継続生産車に対しても適用が義務化される予定です。

このリファレンスは、WP.29 UN-R 155で示された脅威リストと対応策のガイドラインに基づき、AWS環境での具体的な実装情報を整理しています。自動車メーカーやサプライヤーが自社システムやサービスが規格に準拠しているかどうかの判断に役立つ内容となっています。

リファレンスの構成と目的

今回のリファレンスVer1.0は、バックエンドサーバー側の対応を対象としており、今後は車両側のリファレンス作成も予定されています。

また、このリファレンスを活用することで、下図に示すように従来のプロセスに比べて大幅に工数を削減でき、自動車関連企業の業務負担の軽減に貢献します。

関係者インタビュー

今回は、本リファレンスの作成に関与した企業の方々に、作成の背景や困難点についてお話を伺いました。

【Q】どのような考えで、本リファレンスの作成に参加されたのですか。
・日立システムズ 山口氏：
当社は2011年頃からAWSを活用しており、パートナーとしても関係を築いてきました。私自身は2016年頃からサイバーセキュリティ分野の研究開発に携わり、特に産業システムや工場のセキュリティなど「OTセキュリティ分野」を専門にしていました。2020年からは、法規制を起点に「自動車向けサイバーセキュリティ分野」へと研究対象を拡大しました。2022年に、このコミュニティへの参加のお誘いをいただいた際には、前年にUN-R155が発行されたこともあり、参加を決意しました。

・SCSK 齋藤氏：
弊社はSIerとして、ビジネスに必要なすべてのITサービスをフルラインアップで提供しています。また、社会課題の解決に向けて新たな挑戦を続けており、今回も安全で安心な自動車社会の実現に貢献できることを期待して参加しました。AWSのプレミアティアサービスパートナーとして、AWSへのリフト＆シフトやクラウドネイティブ化を積極的に推進しており、複数の自動車関連企業様との取引経験を通じて、今回の取り組みで重要な役割を果たせると考えています。

・VicOne 原氏：
弊社はセキュリティソリューションを主に開発しています。VicOneの親会社であるトレンドマイクロは、約10年前から車両のセキュリティ需要について日本の自動車メーカーにヒアリングを行っていました。当時、各社は研究レベルでさまざまな取り組みをしていましたが、まだ本格的にセキュリティソリューションを導入する段階には至っていませんでした。
その後、しばらくの間中断していましたが、約5年前から再びIoT全般のセキュリティが注目され、その一環として自動車分野が取り上げられるようになりました。WP29の議論が盛り上がりを見せ、自動車向けのセキュリティ対策に本格的に取り組むことになり、2022年初めに自動車関連の組織を立ち上げました。そして2022年中頃にはVicOneという子会社を設立し、日本で法人化して本社も日本に移転しました。現在は、自動車分野に注力しつつ、長期的な視点でセキュリティソリューションを提供しています。車両内部(インビークル)だけでなく、車両外部(アウトビークル)もAWSの領域を含めて対応するため、このグループに参画しました。

【Q】実際にどのようにリファレンスの作成を進めて行かれたのでしょうか。
・日立システムズ 山口氏：
初期フェーズでは、コミュニティメンバーによるブレインストーミングを中心に、各社の知見や意見を共有しながら、WP.29 UN-R155のどの部分にフォーカスしたリファレンスを作成するかを議論しました。
数回の議論を経て、WP.29 UN-R155 Annex 5に記載されている「脅威に関する脆弱性や攻撃手法」と「車両内外を対象とした脅威への軽減策」に焦点を当てることに決定しました。ただし、Annex 5の内容は抽象的な表現が多いため、それをもう少し具体的に補足し、どのAWSサービスで対策できるかを示すリファレンスを作成することにしました。

【Q】リファレンス作成の過程で苦労した点や難しかった点について教えてください。
・SCSK 齋藤氏：
AWSには非常に多くのサービスがあるため、それぞれの要件に対して適切なサービスを選定する際、私がこれまで触れたことのないサービスも多くありました。しかし、関連部署やAWSの方々にアドバイスをいただくことで、新しい発見を得ることができました。そこが難しかった点でもありますが、同時にAWSの幅広いサービス内容を深く理解できた貴重な経験でもありました。

・VicOne 原氏：
車両向けのミティゲーション(低減策)について、できるだけ分かりやすく解説していますが、基本的に分解して説明すると、ほぼIT分野の知識と大きく変わらなくなります。そのため、基本的な部分については、特に大きな困難を感じることはありませんでした。

【Q】最後に、本リファレンスをどのように活用してもらいたいと考えていますか。
・日立システムズ 山口氏：
自動車メーカーや車載関連のソフトウェア開発を行っている技術者の方々に、技術選定や設計時の参考として活用していただけると幸いです。また、自動車業界の技術者の皆さまの日々の膨大な業務が、少しでも軽減されることを願っています。

＊　＊　＊　＊　＊

オープンソースの世界では一般的に行われていることも、企業単位での活動となると簡単ではありません。今回のように、自動車関連ビジネスに携わる企業がその壁を越えて、このようなドキュメントを作成し、無償で公開したことは高く評価されるべきだと思います。この取り組みが、さまざまな業界にも波及していくことを期待しています。