「自工会/部工会・サイバーセキュリティガイドライン 2.1版」 自動車産業を取り巻くリスクへの有効な対策とは

2023年9月、『自工会/部工会・サイバーセキュリティガイドライン 2.1版』が公開されました。※1

本ガイドラインは、自動車産業を取り巻くサイバーセキュリティリスクへの正しい理解を促すとともに、業界全体のサイバーセキュリティ対策のレベルアップや対策レベルの効率的な点検を推進することを目的として、日本自動車工業会(JAMA)および日本自動車部品工業会(JAPIA)が作成したものです。(初版発行は2020年3月)

本コラムでは、ガイドラインの対象や構成について簡単にご紹介し、更にガイドラインに基づいてセキュリティ強化を検討されている自動車関連企業の皆様に対して、弊社が提供するファイル暗号化・IRMソリューション『DataClasys』がどのようにお役立ちできるかをご説明しています。さらに、実際のDataClasysの自動車関連企業への導入事例も紹介しています。

自動車産業を取り巻くセキュリティリスク

「情報セキュリティ10大脅威 2024」ではサプライチェーン攻撃が2位に選出

順位「組織」向け脅威初選出年10大脅威での取り扱い
(2016年以降)
1位ランサムウェアによる被害2016年9年連続9回目
2位サプライチェーンの弱点を悪用した攻撃2019年6年連続6回目
3位内部不正による情報漏えい等の被害2016年9年連続9回目
4位標的型攻撃による機密情報の窃取2016年9年連続9回目
5位修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)2022年3年連続3回目
6位不注意による情報漏えい等の被害2016年6年連続7回目
7位脆弱性対策情報の公開に伴う悪用増加2016年4年連続7回目
8位ビジネスメール詐欺による金銭被害2018年7年連続7回目
9位テレワーク等のニューノーマルな働き方を狙った攻撃2021年4年連続4回目
10位犯罪のビジネス化(アンダーグラウンドサービス)2017年2年連続4回目
出典:IPA『情報セキュリティ10大脅威 2024』「組織」向け脅威のみ抜粋

情報処理推進機構(IPA)が2024年1月24日に公表した 「情報セキュリティ10大脅威 2024」※2 では、サプライチェーンの弱点を悪用した攻撃が2位に選出されました。サプライチェーン攻撃とは、標的組織の取引先や委託先を攻撃し、それらが保有する標的組織の機密情報を狙うものです。また、セキュリティが強固な本社に直接攻撃するのではなく、取引先事業者を足掛かりにして間接的に侵入することもあります。

2022年3月には、トヨタ自動車の主要取引先である小島プレス工業でランサムウェア攻撃によるシステム障害が発生し、トヨタ自動車の国内全工場(全国14工場28ライン)の稼働を停止する事態となりました。システム障害が発生した原因は、小島プレス工業の子会社の社内ネットワークを介して同社のネットワークに侵入され攻撃を受けたことによるということです。

その他にも、海外に工場を持つ多くの企業が攻撃を受け機密情報を漏えいしています。

ランサムウェア被害の業種別報告件数最多は製造業

出典:「令和5年におけるサイバー空間をめぐる脅威の情勢等について」
【図表21:ランサムウェア被害の企業・団体等の業種別報告件数】

2023年9月に警察庁が公表した「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」※3 によると、令和5年上半期(1月~6月)に都道府県警察から警察庁に報告のあった件数は103件でした。これを業種別に見ると、最も被害が多い業種は製造業で34件(33%)です。次にサービス業が16件(15%)、卸売・小売業が15件(14%)と続いています。

本ガイドラインの対象と構成

本ガイドラインの対象読者

本ガイドラインの想定読者は、セキュリティ業務に関与している以下に例示される部門の責任者及び担当者となります。

  • CISO (最高情報セキュリティ責任者
  • リスク管理部門
  • 監査部門
  • セキュリティ 対応 部門
  • 情報システム の 開発 運用部門
  • データマネジメント 部門
  • サプライチェーン の管理責任を負う購買や調達部門
  • その他のセキュリティに関わる部門(人事・法務・総務)

本ガイドラインの対象範囲

本ガイドラインの対象範囲は、特定の業務領域によらず全体の業務に共通するエンタープライズ領域(業務基盤となるOA環境)となります。

出典:「自工会/部工会・サイバーセキュリティガイドライン 2.1版」
【図:自動車産業CSガイドラインの対象領域】

本ガイドラインの構成

本ガイドラインでは「要求事項と達成条件」として21項目の要求事項と153項目の達成条件(チェック項目)が示されています。このチェック項目にはそれぞれレベル1~3が設定されており、企業規模に関わらず、自社の保有する技術情報やサプライチェーンの一員として取り扱う情報などに応じて、目標とするレベルを自社で決定し、達成していくことが求められています。ガイドラインには目標レベルを決定する上で参考になるレベルごとの定義が下記の図で示されています。

出典:「自工会/部工会・サイバーセキュリティガイドライン 2.1版」
【図:自動車産業 CS ガイドラインの セキュリティレベル定義】

弊社製品でお役に立てること

弊社は開発・販売をしている『DataClasys(データクレシス)』は、機密ファイルを暗号化し、閲覧・更新、印刷などの権限を制御するファイル暗号化・IRMソリューションです。本ガイドラインへの対応をご検討の自動車関連企業様に対し有効な機能・特長をご紹介します。

DataClasysの特長

3DCADを含むすべてのファイルの暗号化が可能

DataClasysの最大の特長は、暗号化対象とできるアプリケーションやファイル形式に制限がないことです。特に3DCADを含むあらゆるファイルを暗号化することが可能です。他社の暗号化製品では2Dや一部の3Dのみの対応や、暗号化によって使用感が変わるといった悩みをよくお聞きしますが、DataClasysはそのような問題がなく、そのため製造業様に多くの導入実績がございます。

利用実績のあるアプリケーションについてはこちらをご確認ください。また、一覧にないアプリをご利用の場合はお問い合わせよりご質問下さい。

機密区分を設定し、組織の管理ルールに従ってファイルにアクセスさせることが可能

DataClasysは、組織の管理ルールに基づき「極秘」「社外秘」「取扱い注意」などの機密区分(カテゴリ)を任意に作成し、ファイルをその機密区分に従って暗号化することで、組織の情報資産を的確に管理することができます。

機密区分はファイルを利用するユーザの所属情報(グループ × ポスト)に応じて権限が設定できます。例えば、経営に関する重要な情報が含まれるファイルを暗号化する際は「極秘」カテゴリで暗号化することで、経営者および管理職の社員しか閲覧できないようにすることが可能です。

なお暗号化された機密文書には鍵マークが付くため、一見して機密情報であることが分かるようになります。

退職や契約期間終了後はデータ利用を禁止することが可能

暗号化ファイルへアクセスできる期限を設定することで、従業員が退職後、あるいは契約期間終了後の不正なデータ利用を禁止することが可能です。

DataClasysで暗号化したファイルを利用するためには、専用のIDが必要です。管理者はこのIDの利用期限を設定することで、期限が切れるとすべての暗号化ファイルの利用を禁じることができます。また、個々のファイルに対して暗号化時に別々に利用期限を設定することも可能です。

取引先・業務委託先からの漏えいを防ぐことが可能

あらかじめ暗号化・権限設定したファイルを社外に提供することで、取引先や業務委託先からの漏えいを防ぎます。DataClasysで暗号化したファイルはパスワードによる保護とは違い、暗号化を解除することなく閲覧・編集などの作業が可能です。このため、社外でも常に暗号化状態を継続し、自社で定めた管理ルールに従ってファイルを利用させることができます。仮に取引先・業務委託先がサイバー攻撃を受けファイルが流出しても、情報漏えいを防ぐことができます。

内部不正による情報漏えいにも対応が可能

近年、深刻な課題となっているのが、退職者や産業スパイによる技術情報の不正持ち出しです。先述の通り、DataClasysは従業員に業務に必要な権限(例:「閲覧」「更新」)だけを与え、同時に「復号(暗号化解除)」の権限を与えない仕組みを提供することができます。これにより、業務に従事するメンバーが暗号化を解除せずに作業できるため、機密情報を不正に持ち出すリスクを効果的に防ぐことが可能です。


なお、上記の特長が具体的にどの要求事項に対応するかについては、お問い合わせいただき、詳細をご確認ください。

自動車関連企業への導入事例

自動車関連企業さまへのDataClasys導入事例をご紹介します。具体的な運用方法などの詳細にご興味ある方は是非お問い合わせ下さい。

マツダ株式会社 様

自動車メーカーのマツダ様では、海外工場での量産準備を効率化して迅速に量産を立ち上げられるよう、新車の製品データをDataClasysで自動的に暗号化して情報漏えい対策を施した上で、海外工場と共有する仕組みを構築しました。その結果、海外工場でも新車データを基に早期に量産準備を進められるようになり、従来よりも早く海外工場での量産を開始できるようになりました。

ダイヤゼブラ電機株式会社 様

自動車メーカー向けの点火コイル市場で世界トップクラスのシェアを誇るダイヤゼブラ電機様は、自社の技術ノウハウがつまったCADデータを社外へセキュアに提供する方法としてDataClasysを導入されました。様々なCADで動作実績があったため、設計者の生産性を損なうことなく強固なセキュリティ対策を実現しました。

参考

※1 自工会/部工会・サイバーセキュリティガイドライン2.1版 | 一般社団法人 日本自動車工業会総合政策委員会ICT部会サイバーセキュリティ分科会/一般社団法人 日本自動車部品工業会IT対応委員会サイバーセキュリティ部会 2023年9月1日

※2 情報セキュリティ10大脅威 2024 | 独立行政法人情報処理推進機構 2024年1月24日

※3 令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について | 警察庁 2023年9月21日