製品生産における情報セキュリティ:オフィス/工場のセキュリティ管理とは?
情報セキュリティ管理体制を整えることで、試作品や量産品の設計情報等における情報資産の安全な取り扱いに加え、生産工場自体へのサイバー攻撃に対する防御策やBCPなどの対応が可能になります。
サイバーセキュリティ対策を下支えする情報セキュリティ
UN-R155への対応として、設計現場は車両のセキュリティリスクを軽減させる必要がありますが、「車両のサイバーセキュリティ(CS)耐性を高めた設計資産=情報資産等を漏洩させないこと」、「その設計資産通りに製造されること」を担保するために、組織全体で情報セキュリティ管理体制を整える必要があります。つまり、情報セキュリティ体制を整えることは、車両のCS耐性を高める活動をサポートすることになり、法規対応の活動とリンクするものです。
事業継続における情報セキュリティ
近年、生産工場へのサイバー攻撃が増加しており、企業の生産活動が停止するという非常に大きなリスクを抱えています。増加の背景には、世界的に進むスマートファクトリー化の流れにおいて、工場全体の情報セキュリティ管理体制が追い付いていないということが挙げられます。
また、自動車業界は大きく複雑なサプライチェーンで構成されています。自社の生産活動が停止した場合、サプライチェーン全体に影響を及ぼすことになり、工場の情報セキュリティ管理体制を整えることは必要最低条件となってきています。
情報セキュリティマネジメントシステム(ISMS)に求められているものは?
自動車業界のISMSにおいては、大きく分けてエンタープライズ領域(組織全体の業務基盤)と工場領域(生産ラインを含む工場特有の業務基盤)の対応が必要です。前者はリスクに応じて、組織的に資産を管理し、管理体制や方法の維持・改善を目的としており、後者は前述に加え、暗号鍵の書き込みや適切な管理、生産ラインへのサイバー攻撃への対応が目的となります。
DNVでは、情報セキュリティ管理体制構築のために、以下のサービスを提供しています。
• 組織における情報セキュリティ:サイバーセキュリティガイドライン、ISO/IEC 27001、TISAX
• 工場における情報セキュリティ:IEC62443
組織における情報セキュリティ:サイバーセキュリティガイドライン、ISO/IEC 27001、TISAX
現状、自動車業界の中で求められている組織における情報セキュリティ管理体制は、顧客や地域によってレベルにバラつきがあります。主要な顧客や注力している地域の要求を正しく理解した上で、取り得る対策を検討する必要があります。
• サイバーセキュリティガイドライン
日本自動車工業会(JAMA)と日本自動車部品工業会(JAPIA)が、自動車産業固有のサイバーセキュリティリスクを考慮し、日本の自動車業界共通の評価基準として、2020年にサイバーセキュリティガイドライン(第1版)を策定しました(2022年4月に第2版が発行)。本ガイドラインは、自動車業界全体で適用可能にするために、マネジメントシステムにおける要求が簡略化されているものであり、自社の情報セキュリティ管理体制の基盤を整えるためのファーストステップとして活用することが出来ます。本支援では、守るべき資産の分析&評価や規程、運用等におけるアドバイザリ、従業員への階層別教育なども併せて提供いたします。サイバーセキュリティガイドラインについては、以下をご確認ください。
自動車産業サイバーセキュリティガイドライン(一般社団法人 日本自動車工業会)
• ISO/IEC 27001
ISO/IEC 27001は、世界中で最も広く知られている業界依存の無い情報セキュリティに関する国際規格です。本規格では、組織が自社で保護すべき情報資産を洗い出し、各情報資産に対して機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の観点において保護するために、7つのカテゴリにおける要求事項に加え、114の具体的な管理策への対応が求められています。詳細は以下をご確認ください。
ISO27001 – 情報セキュリティ
• TISAX
自動車業界の情報セキュリティ対策の底上げの観点から、ドイツ自動車工業会(VDA)は、前項のISO/IEC 27001を基に、自動車業界特有の事項や、個人データ保護を目的とした一般データ保護規則(GDPR)の追加要件を加えたVDA情報セキュリティ評価基準(VDA ISA)を策定しました。また、サプライチェーン全体の管理の為に、TISAX(Trusted Information Security Assessment Exchange)というセキュリティ評価の仕組みもENX(European Network Exchange)と立ち上げており、この仕組みでは、外部の審査機関による監査を受けることが求められています。詳細は以下をご確認ください。
工場における情報セキュリティ:IEC 62443
生産現場においてIoT化が進む中、サイバー攻撃による生産停止や情報漏洩などのリスクが顕在化しており、この増加するサイバー攻撃に備えて、設備や安全上の問題への対策が必要不可欠となっています。それらの対策への一つの指針となる国際規格として、IEC 62443があります。 IEC 62443シリーズは、IACS(産業用オートメーション及び制御システム)のセキュリティを主に取り扱っており、IACSに関する全てのレイヤー/プレイヤーをカバーした国際規格として、各パート毎に事業者(運用/保守含む)/インテグレーター/装置ベンダ―への要件を定めています。つまり、IEC 62443で守るべき対象は制御関連システムのみではなく、そのシステムの運用に関わる「人」や「業務」なども対象範囲として定めています。
• 管理/運用(マネジメントシステム)、システム、コンポーネント(装置・デバイス)を
総合的にカバー
• 事業者、システム構築者、装置ベンダーのそれぞれが参照可能な規格であり、制御
システム分野で共通認識が得られる
• 自社の準拠を保証するための国際認証スキームがあり、第三者認証によって客観的な
評価が可能
本支援では、工場におけるリスクの可視化などのアセスメントや教育などを提供いたします。