UL、SAE、FTC等によるサイバーセキュリティ基準の検討状況
2017年8月14日
NEDOワシントン事務所
- ULによる、ネットワーク接続可能製品の基準開発
UL(Underwriters Laboratories)は2016年4月5日、「ULサイバーセキュリティ保証プログラム(Cyber Security Assurance Program=CAP)」の一環として、ネットワーク接続の製品及びシステムに対するサイバーセキュリティ・テスト基準の提供を目的とするUL標準規格2900シリーズを立ち上げた。
同シリーズの目的は、ネットワーク接続可能製品のメーカーが、当該製品に付随するソフトウェアの脆弱性に対するベースラインの防護を設定する際に使用可能な事項を提供することである。
ULはこれまで、①UL2900-1(ネットワーク接続可能製品のソフトウェアのサイバーセキュリティに関する一般要求事項)、②UL29100-2-1(ヘルスケア・システムのネットワーク接続可能部品を対象とする要求事項)及び③UL2900-2-2(産業用制御システムを対象とする要求事項)を発表。これら3基準は現在、規格策定パネル(Standards Technical Panel)の投票待ちとなっている。他方、自動車のサイバーセキュリティに関するUL2900-2-4基準は未だ企画段階にあり、発表されていない。
- SAE Internationalによる、自動車サイバーセキュリティ基準の開発
SAE自動車サイバーセキュリティ・システム工学委員会(SAE Vehicle Cybersecurity Systems Engineering Committee:以下「SAE委員会」)は、①J3061(サイバーフィジカル自動車システムに関するサイバーセキュリティガイドブック:以下 「SAEガイドブック」)、②J3061-1(自動車サイバーセキュリティの整合性レベル(Automotive Cybersecurity Integrity Level)に関する基準)、③J3061-2(セキュリティ試験方法に関する基準)、及び④J3061-3(セキュリティの試験ツールに関する基準)を策定中。このうち、進展があったのはJ3061「SAEガイドブック」のみで、その他の基準については未だ開発初期段階。
2016年1月に発表されたJ3061「SAEガイドブック」は、サイバーフィジカル自動車環境が直面するサイバーセキュリティの脅威への対応策としてリスクベース・アプローチを提供するもので、国家道路安全交通局(NHTSA)は業界に同基準の採用を検討するよう推奨している。
- SAEとISO(国際標準化機構)の協力
車載電気・電子システムの機能的安全性に関しては、自動車業界は既にISO 26262基準を導入済。ただし、現行のISO基準ではサイバーセキュリティ問題への対応が不十分であるため、SAEのJ3061「SAEガイドブック」が暫定的にこのギャップを埋めるものになると期待されている。
こうした状況の中、SAEとISOは、ISO-SAEサイバーセキュリティ基準の開発において提携することに合意した。提携の目的は、2019年までに自動車セキュリティ工学のニーズに応える基準を、SAEのJ3061が定義した根本要素に基づいて策定すること。「ISO/SAE N3556 (draft) TC 22 Road Vehicles – Vehicle Cybersecurity Engineering」という仮題が提案されている。
- SAEによる、OBD IIポート接続基準の開発
既存及び新型のコネクテッドカーにおけるOBD(On-board Diagnostic)IIポート・アクセスの役割が拡大するにつれて、安全性への懸念が深刻化していることに応えるべく、SAEはOBDの安全確保に関する共通課題、ニーズ、及びアプローチを確認する産業研究会を2016年12月1日及び2017年1月30日に開催。
SAEは、上記2回の産業研究会の結果に基づき、OBD IIポート・アクセスの基準を開発する「データリンクコネクター自動車安全委員会(Data Link Connector Vehicle Security Committee)」を設置。同委員会は、SAEがJ3061策定時に行った研究を活用し、OBD IIポート接続の安全保証基準案を2017年末までに発表する予定。
- 連邦取引委員会(FTC)とNHTSA、コネクテッドカーに関するワークショップを合同で開催
FTCとNHTSAは2017年6月28日、規制策定者、自動車メーカー、ソフトウェア開発事業者、消費者団体等の幅広い利害関係者を集め、データ・プライバシー分野における課題及びイノベーションといったコネクテッドカーの現状を討議するワークショップを開催した。
Maureen Ohlhausen FTC委員長代理の開会の挨拶、NHTSA及びGMの専門家によるプレゼンテーションに続き、第一パネル(コネクテッドカーによるデータ収集・利用・共有方法)、第二パネル(サイバーセキュリティ問題)、及び第三パネル(コネクテッドカーのプライバシー問題)に分かれてディスカッションが行われた。
このうち第一パネル(コネクテッドカーによるデータ収集・利用・共有方法)では、「コネクテッドカー収集データの利用が、交通渋滞・汚染・死亡者数の削減、及び、生産性又は余暇の増大といった多くの利益を約束する」という点で概ね合意。
他方、消費者プライバシー保護団体は、コネクテッドカーに付随する新たな課題として以下を提起した:
<コネクテッドカーに付随する課題>
-コネクテッドカー収集データが多様な装置やデータベースを通過する際、誰がデータの所有者、責任者となるのか?
-利用者機密情報の貯蔵及び削除に関するプロトコルはどのようであるべきか?
-メーカー及びディーラーは、こうした技術の機能及びリスクについて消費者にどの程度の情報を提供するべきか?
FTC/NHTSA合同ワークショップは、プライバシー及びセキュリティ基準を開発してコネクテッドカーへ適用することに対する両機関の関心を明示する機会となった。同ワークショップ後、FTCが単独又はNHTSAと共同で、コネクテッドカーに関する報告書またはビジネス指針を発表し、NHTSAがワークショップで得たアイディアを自局の規則、ガイダンス、現行法の解釈に統合していくものと予想されている。