自動車産業関係の方要確認！サイバーセキュリティガイドラインVer2.1に対応できていますか？

自動車業界を取り巻く現状

自動車産業は、愛知・岐阜はもとより、日本においても重要な基幹産業。
その基幹産業である自動車業界では、ランサムウェアや標的型攻撃はもとより、
サプライチェーン全体を狙ったサイバー犯罪が発生しており、
業界全体でのセキュリティリスクへの対応が求められています。

特にセキュリティ対策が甘く、狙われやすい中小企業などが要注意です！
最初に被害を被った組織が、いつの間にか犯罪者に加担してしまうことも。
被害者ではなく、加害者になることもあります。

加えて、サプライチェーンの一角がサイバー攻撃で稼働できなくなることで、
全体が稼働できなくなるリスクも・・・

そこで、業界を取り巻くサイバーセキュリティリスクを正確に理解しながら
業界全体でサイバーセキュリティリスクに適切な対処を行うことが必要不可欠といわれています。

自動車メーカーだけでなく、サプライチェーンを構成する会社も含めた業界全体で
サイバー攻撃に対抗すべく、業界固有のセキュリティリスクを考慮し、
日本自動車工業会(JAMA)、日本自動車部品工業会(JAPIA)が、
共同で策定したセキュリティのガイドラインです。

自動車業界に関わる全ての会社が対象となっています。
３つのレベルと１５３のチェック項目で構成されています。

２０２４年３月２８日は、自動車工業会から「サイバーセキュリティ推進活動集計データ」の最終報告が発表されました。
これは、セキュリティガイドライン付録のチェックシートをもとに自動車業界に関連する各企業がセキュリティ対策状況のセルフチェックを定期的に実施、評価結果を取りまとめたものです。

２０２４年３月と２０２３年３月の調査結果を比較すると、回答に協力した企業の中では、
多くの企業でガイドラインへの対応が進んでいることがわかります。

対策が進んでいるものの、大企業と中小企業では対策の進度にも差が生じています
項目別では、レベル１の企業では、「20.データ保護」、「21.オフィスツール関連」、「23.不正アクセスの検知」などに対策の遅れがみられている傾向も。

次に目標レベル別に、未実施と回答した会社数が多かった項目に着目してみてみます。

未実施項目に着目すると、レベル１では情報資産の管理方法やルールといった点に課題があるようです。対して、レベル２では仕組やマネジメントへの対策に遅れが生じている傾向が見られます。

セキュリティレベル定義によると、レベル２までの内容は「自動車業界として標準的に目指すべき項目」として設定されており、現在、レベル１の対応も完了していない企業でも、Tier1・Tier2の取引先からレベル２までの対応を求められることが今後は考えられます。

２０２４年に入り実際に「Tier1の取引先から、２０２５年３月までにレベル２まで対応することを求められている」という事例も・・・

もしサイバーセキュリティガイドラインの対応に不安がある、
どうしたらいいのかわからない、といったご不安点があればぜひお問合せください！