どう守る「サプライチェーン攻撃」自動車産業のサイバーセキュリティ対策

調査では企業規模によるバラつきが浮き彫りに

自工会広報誌「JAMAGAZINE」4月号よりピックアップ

近年、潜在的なリスクが高まっているといわれるサイバー攻撃。その中でも被害が増えている攻撃の一つが、セキュリティが脆弱な企業を基点に大手企業などの情報窃取や妨害を狙う「サプライチェーン攻撃」です。特に約3万点の部品からなる自動車製造業界は、サプライチェーンの裾野が広く、実際にここ数年でも複数の被害が確認されています。こうしたなか、日本自動車工業会と日本自動車部品工業会では2021年度、会員各社のサイバー攻撃に関する対策状況を調査し、このたび調査結果を公表しました。回答企業には、今回の集計結果と自社の状況を照らし合わせ、サイバーセキュリティ対策の強化に活用してもらいたいと考えています。

2300社を対象に実態調査

今回の調査は、自工会と部工会が2020年に策定した「自動車産業サイバーセキュリティガイドライン」をもとにしたチェックシートを展開し、各社の回答状況を集計しました。ガイドラインは、コーポレート系情報ネットワークなどの「エンタープライズ」領域を対象に、規模の小さい企業も含めて優先して実施すべき必要最低限の50項目で構成。1項目2点の100点満点で対策状況をポイント化するチェックシートを昨年10月下旬までに評価結果を提出した企業を対象に集計しました。
今回、2300社の会員企業に対策状況を提出してもらいましたが、調査で改めて浮き彫りに
なったことの一つが、会社の規模や業種によるばらつきの大きさです。例えば従業員数別の平均点でみると、「1万人以上の企業」(73社)は平均96.5点とほぼ全ての項目に準拠しているものの、従業員数が少なくなればなるほど平均点は減少し、「100人以下の企業」(775社)の場合は56.8点と約半分にまで減ります。業種別でみると、「完成車メーカー」(11社)が97・0点、「ソフトウェア開発」(38社)が93・1点と高得点だった一方、「設備」(97社)が73・9点、「加工」(876社)が60・2点と低い傾向が確認できました。
「未実施」だった項目別では強い傾向がみられなかったものの、「情報資産において『機密性』『完全性』『可用性』の3要素が確保できなくなった場合のリスクを特定できている」「業務影響への対策は策定された計画に沿って管理している」といった項目は比較的実施できていない企業が多かったようです。

ガイドラインを高度化。550万人への対策も

社会的にサイバー攻撃の被害が広がるなかで、企業の意識は高まっています。今回、中小規模の会社を含む2300社もの企業から回答が集まったのも意識の高まりを表しているのではないでしょうか。しかしながら、それぞれの会社の状況によっては対策を徹底することが現実的に難しいケースもあります。そうした企業への対応は自工会としても重要課題と認識しています。
一方、サイバー攻撃のレベルが高まるなか、ガイドラインの高度化も図ります。22年度初頭にはより高度な内容を盛り込んだ改訂版を追加するとともに、年度後半には工場を対象領域とした指標もまとめる予定です。
さらに自工会として将来的に注力していきたいのが自動車業界に携わる550万人のためのサイバーセキュリティ対策です。サイバー攻撃を受けた企業が機能不全を起こした際、自動車ユーザーや社会に大きな影響が出る業種は完成車メーカーや部品メーカーに限りません。具体的な方法は今後の検討課題ですが、自動車業界全体でサイバーセキュリティのレベルを引き上げるための道を模索していく考えです。

「JAMAGAZINE」バックナンバーはこちらでご覧いただけます。