自動車産業サイバーセキュリティガイドラインの要点

日本自動車工業会(JAMA)と日本自動車部品工業会(JAPIA)が2023年9月に公開した「自工会/部工会・サイバーセキュリティガイドライン 2.1版」において、求められているセキュリティリスク管理体制と、セキュリティ対策ツールについて解説します。
出典自工会/部工会・サイバーセキュリティガイドライン 2.1版

この記事の目次

1 自工会/部工会・サイバーセキュリティガイドラインとは
2 セキュリティリスク管理体制
3 マルウェア対策と不正アクセス検知
4 ガイドラインを達成するためには？

自工会/部工会・サイバーセキュリティガイドラインとは

自動車産業サイバーセキュリティガイドラインは、2020年3月31日に初版を策定したことからスタートして、2022年3月31日に改訂版(2.0版)が策定されました。そして、自己評価結果の提出方法のシステム化に伴う入力項目を追加した「自工会/部工会・サイバーセキュリティガイドライン　2.1版」として、2023年9月1日に公開されています。

このガイドラインは「自動車業界に関係する全ての会社」のオフィスでのセキュリティを対象とし、工場・販売・コネクティッド領域は次年度以降の検討課題になっています。
そして、要求事項と達成条件として153のチェック項目についてレベル1～3に分類して定義されています。

レベル	対象企業
レベル３ 29項目	自動車業界を代表し牽引すべき立場の会社
レベル２ 74項目	以下のいずれかに該当する会社サプライチェーンのおいて社外の機密情報を取り扱う会社自動車業界として重要な自社技術・情報を有する会社相応の規模・シェアを有し業界のサプライチェーンに大きな影響を及ぼし得る会社
レベル１ 50項目	自動車業界に関する全ての会社

153のチェック項目はそれぞれ下記表の24個のラベルに分類されていて、ラベル毎に目的、要求項目、レベル、達成条件、達成基準が設定されています。

1	方針	9	アクセス権	17	通信制御
2	機密情報を扱うルール	10	情報資産の管理（情報）	18	認証・認可
3	法令順守	11	情報資産の管理（機器）	19	バッチやアップデート適用
4	体制（平時）	12	リスク対応	20	データ保護
5	体制（事故時）	13	取引内容・手段の把握	21	オフィスツール関連
6	事故時の手順	14	外部への接続状況の把握	22	マルウェア対策
7	日常の教育	15	社内接続ルール	23	不正アクセスの検知
8	他社との情報セキュリティ要件	16	物理セキュリティ	24	バックアップ・復元（リストア）

セキュリティリスク管理体制

ガイドラインのラベル４、５の体制で、サイバー攻撃や予兆を監視・分析をする組織とは、以下のようなセキュリティ専門組織を指します。

サイバー攻撃の検出やインシデントの特定を行う SOC(ソック：Security Operation Center)
インシデントが発生した際に対応を担う CSIRT(シーサート：Computer Security Incident Response Team)

これらの組織は、サイバー攻撃は、いつ行われるかわからないため、それを監視する組織も24時間365日体制での対応が求められます。自社で体制を整備する場合と、外部委託を活用する場合があります。外注する場合は、専門的な体制や機能を提供するMDR（Managed Detection and Response）サービスなどを検討し、自社で担当する業務との役割分担を明確にして導入可能な体制を整備することが重要となります。

マルウェア対策と不正アクセス検知

ガイドラインのラベル22のマルウェア対策で、以下の達成基準を求めています。

ウイルス対策ソフトのパターンファイル常時更新・・・対象の会社はLv1（自動車業界に関する全ての会社）
エンドポイントでの詳細な履歴取得およびマルウェア感染後の遠隔対応が可能な行動追跡システムの導入・・・Lv3
メールによるマルウェア感染防止のため、メールゲートウェイでのマルウェアチェック実施・・・Lv2
メールの添付ファイルによるマルウェア侵入防止ため、システムで拡張子制限実施・・・Lv2
不正な Web サイト閲覧によるマルウェア感染防止のため、Web ゲートウェイでのマルウェアチェック実施・・・Lv2

さらに、ガイドラインのラベル23の不正アクセスの検知では次の項目を達成基準としています。

通信内容を常時監視し、不正アクセスや不正侵入をリアルタイムで検知/遮断および通知する仕組の導入・・・Lv2
インシデント発生時の調査のために必要なログの取得・・・Lv2
重要なシステムについて、アプリケーション操作ログの取得・・・Lv3
ログを分析し、サイバー攻撃を検知する仕組みの導入・・・Lv2
社内に侵入したマルウェアと不正なサーバーとの通信を遮断する対策の実施・・・Lv2
インターネットに公開している Web サイトのサイトの改ざんを検知する仕組の導入と、定期的な確認・・・Lv3

これらの項目を解決するためには、ウイルス対策ソフト EPP（Endpoint Protection Platform）、詳細な履歴取得およびマルウェア感染後の遠隔対応が可能な行動追跡システムとしてEDR( Endpoint Detection and Response )、ネットワークを監視するためのUTM（Unified Threat Management）などのセキュリティツールの導入が必要です。さらに、これらのセキュリティツールを活用して監視・分析する専門家が必要になります。

自工会/部工会・サイバーセキュリティガイドライン V2.1解説書では本項目達成の一助になるサービスとしてIPAの「サイバーセキュリティお助け隊サービス」が紹介されています。
「サイバーセキュリティお助け隊サービス」とは、中小企業に対するサイバー攻撃への対処として不可欠なサービスを効果的かつ安価に、確実に提供することを目的に、IPA（独立行政法人情報処理推進機構）が2021年2月に制定・公開したセキュリティサービス基準を満たしたサービスで、相談窓口、異常の監視、緊急時の対応支援、簡易サイバー保険などの各種サービスをワンパッケージで安価に提供することを要件としています。

ガイドラインを達成するためには？

自動車産業サイバーセキュリティガイドラインのマルウェア対策および不正アクセスの検知の項目を達成するためには、ウイルス対策ソフト EPP（Endpoint Protection Platform）、詳細な履歴取得およびマルウェア感染後の遠隔対応が可能な行動追跡システムとしてEDR( Endpoint Detection and Response )、ネットワークを監視するためのUTM（Unified Threat Management）などのセキュリティツールの導入が必要です。さらに、これらのセキュリティツールを活用して監視・分析する専門家が必要になります。

NEW

サイバーセキュリティお助け隊サービス
AXIS総合セキュリティパックのご紹介

「AXIS総合セキュリティパック」は、Sophosの最新製品を採用した次世代型セキュリティシステム（Sophos Firewall XGS、Sophos Intercept X )に24時間年中無休のマネージメントサービス（Sophos MDR）さらに導入コンサルティングサービスとサイバー保険をワンパッケージにした最高レベルの総合セキュリティサービスです。

ランサムウェアでお困りのお客様へ
Sophos エンドポイントプロテクション

株式会社アクシスは、Sophos Gold Partnerです。
さらに、Sophos Central Endpoint and Server製品の幅広い販売能力と高い技術的な製品知識を有していることをSophosが証明するSophos Central Endpoint and Server Partner認定企業です。