Skyテックブログ(技術ブログ)

記事検索

検索ワードを入力してください。
Sky Tech Blog
自動車業界に​おける​サイバーセキュリティ監査
Report2026.05.02

自動車業界に​おける​サイバーセキュリティ監査

SDV(Software-Defined Vehicle)時代における自動車の品質保証として、サイバーセキュリティ監査の重要性を解説します。国際法規(UN-R155/156)で義務化された背景、プロセス監査と製品監査で確認される内容、基盤となるISO/SAE 21434などの規格、推奨される資格について紹介。TARA(脅威分析)を起点とし、セキュリティ要求を設計段階から組み込むなど、監査に耐えうる製品開発の5つの重要な観点を説明します。

こんにちは。
車載ソフトウェアの開発を担当させて頂いております。

SDV(Software-Defined Vehicle)という言葉で表現される通り、“車がソフトウェア化する時代"の品質保証のひとつとして、サイバーセキュリティ監査が挙げられます。
本記事では、サイバーセキュリティ監査について紹介させて頂きます。

自動車業界に​おける​サイバーセキュリティ監査

ソフトウェア化・コネクテッド化が急速に進む自動車業界では、サイバー攻撃のリスクが年々高まっています。
その結果、国際規格や法規制に基づく サイバーセキュリティ監査(Cybersecurity Audit) がOEM・サプライヤ双方に求められるようになりました。

本記事では、

  • なぜ監査が必要なのか
  • 監査で何を確認されるのか
  • どの規格に基づくのか
  • 必要な資格はあるのか
  • 監査に耐える製品開発とは何か

を紹介させて頂きます。

1. なぜサイバーセキュリティ監査が​必要なのか

① 車が​「ネットワークに​つながる​コンピュータ」に​なった

  • OTA、V2X、スマホ連携などにより、車は常時ネットワークにつながる存在になりました。
  • 攻撃対象領域(Attack Surface)は急拡大し、従来の車両安全とは別軸のリスクが生まれています。

② 攻撃が​“物理的危険”に​直結する

サイバー攻撃が

  • ブレーキ
  • ステアリング
  • パワートレイン

などの自動車の走行制御に影響を与える可能性があり、人命に関わるリスクを持ちます。

③ 国際法規で​義務化された

  • 2022年以降、国連WP.29(UN-R155/156)により、サイバーセキュリティマネジメントシステム(CSMS) の構築と監査が義務化されました。

これにより、OEMはサプライヤにも監査を要求する構造になっています。

2. 監査では​何を​確認されるのか

監査は「プロセス監査」と「製品監査」の2軸で行われます。

プロセス監査​(CSMS監査)

組織としてサイバーセキュリティを継続的に管理できているかを確認します。

  • 脅威分析(TARA)の実施
  • セキュリティ要求の定義
  • 設計・実装・テストのプロセス
  • 脆弱性管理
  • インシデント対応
  • サプライチェーン管理
  • リリース後の監視(Monitoring)

“仕組みが回っているか” が問われます。

製品監査​(Vehicle/Component Audit)

実際の製品がプロセス通りに作られているかを確認します。

  • TARAの妥当性
  • セキュリティ要求の実装状況
  • 暗号化・認証の適切性
  • 通信の保護
  • ECU間の権限分離
  • セキュアブート・セキュア更新
  • ログ・監視機能

“製品が安全か” が問われます。

3. 監査に​必要な​規格・法規

自動車サイバーセキュリティ監査は、以下の規格を基盤に行われます。

  • 必須となる国際法規
    • UN-R155(CSMS)
    • サイバーセキュリティマネジメントシステムの要求。
    • UN-R156(SUMS)
    • ソフトウェア更新マネジメントシステムの要求。
  • 技術規格(プロセス・製品)
    • ISO/SAE 21434
    • 自動車サイバーセキュリティの国際標準。
    • TARA、要求定義、設計、検証、運用までの全工程を規定。
    • ISO 24089(ソフトウェア更新)
    • OTA更新の安全性を規定。
  • 関連規格
    • ISO 26262(機能安全)
    • AUTOSARセキュリティガイドライン
    • NIST SP800シリーズ
    • CWE/CVE(脆弱性データベース)
  • 監査ではこれらの整合性も確認されます。

4. 監査に​必要な​資格は​あるか

必須の資格はありませんが、推奨される資格が存在しています。

  • 推奨される資格
    • TÜV Cybersecurity Engineer / Auditor ISO/SAE 21434に基づく監査スキル
    • ISA/IEC 62443 Cybersecurity Expert 制御システムのセキュリティ
    • CEH(Certified Ethical Hacker) 攻撃手法の理解
    • CISSP セキュリティ全般の体系知識
    • Security+ 基礎的なセキュリティ知識
  • OEMや大手Tier1では、ISO/SAE 21434の監査担当者にTÜV資格を推奨するケースが増えています。

5. 監査に​耐える​ために、​どのような​観点で​製品開発すべきか

① TARA​(脅威分析)を​起点に​する

  • 資産(Asset)
  • 脅威(Threat)
  • 攻撃経路(Attack Path)
  • リスクレベル を明確にし、要求をリスクベースで定義する。

② セキュリティ要求を​“機能要求と​同格”に​扱う

  • 認証
  • 暗号化
  • 通信保護
  • 権限管理
  • ログ
  • 更新機能 これらを後付けではなく、設計段階から組み込む(Security by Design)。

③ 開発プロセスを​証跡付きで​運用する

監査では「やったか」ではなく「証跡があるか」が問われる。

  • TARAの記録
  • 要求トレーサビリティ
  • コードレビュー記録
  • テスト証跡
  • 脆弱性管理ログ ナラティブドキュメンテーションが極めて有効。

④ サプライチェーン全体で​セキュリティを​担保する

  • 外部委託先の管理
  • SBOM(Software Bill of Materials)
  • OSS脆弱性管理
  • 契約書でのセキュリティ要求明記

⑤ リリース後の​監視・更新を​前提に​する

  • 脆弱性情報の収集
  • OTA更新
  • インシデント対応プロセス “作って終わり”ではなく“運用で守る”が必要となります。

サイバーセキュリティ監査は「規制対応」ではなく「品質保証」となります。
自動車の価値がソフトウェアに移行する中で、サイバーセキュリティは 安全性・信頼性・ブランド価値 の根幹になっています。
監査はその品質を保証するための仕組みであり、製品開発は監査に耐えるためではなく、安全な車を作るために必要なプロセスとなります。

\シェアをお願いします!/
  • X
  • Facebook
  • LINE
キャリア採用募集中!

入社後にスキルアップを目指す若手の方も、ご自身の経験を幅広いフィールドで生かしたいベテランの方も、お一人おひとりの経験に応じたキャリア採用を行っています。

Sky株式会社のソフトウェア開発や製品、採用に関するお問い合わせについては、下記のリンクをご確認ください。
お問い合わせ
ホーム