LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@Bulletxinストーンビートセキュリティ株式会社

自工会/部工会・サイバーセキュリティガイドラインを活用したセキュリティ対策強化

Last updated at Posted at 2025-04-18

はじめに

「自工会/部工会・サイバーセキュリティガイドライン」とは、自動車産業全体のサイバーセキュリティ対策のレベルアップや対策レベルの効率的な点検を推進することを目的として、自工会(日本自動車工業会)及び部工会(日本自動車部品工業会)が共同で策定したセキュリティガイドラインです。

2020年3月31日に初版が発行され、現時点ではエンタープライズ領域(会社全体のベースとなるOA環境)が対象となっています。
(今後、設備分野、販売店・車両等の他分野向けの項目整備も順次検討される予定のようです)

本記事では、セキュリティ体制が十分でない自動車業界の企業に向けて、本ガイドラインの構成と、同ガイドラインを活用したセキュリティ対策の強化方法についてご紹介します。

ガイドラインの構成

本ガイドラインは合計153個の項目(達成条件)があり、それぞれの項目が以下の基準でレベル付けされています。
image.png

各項目の評価は以下の基準で行います。
image.png

また、それぞれの項目には「目的」や「要求事項」が付随しており、No.123~No.125を例に取ると以下の内容が記載されています。
「目的」を達成するための「要求事項」があり、その要求を満たすために「達成条件」を満たすセキュリティ対策を行う、という構成になっています。
No.123~No.125を例に取ると、以下の内容が記載されています。
image.png

各項目の関係性は、下図のイメージです。
image.png

本ガイドラインの活用方法

①自己評価

まずは、本ガイドラインに基づいた自己評価を実施しましょう。
自工会が以下のページにチェックシートを公開しているので、こちらをご活用いただくことを推奨します。
https://www.jama.or.jp/operation/it/cyb_sec/cyb_sec_guideline.html

なお、本チェックシートは毎年、自工会から提出を依頼されているため、自動車業界の企業であれば既に実施されているかと思われます。

②リスクアセスメント

次に、自己評価の結果をもとにリスクアセスメントを実施しましょう。
大きく「リスク特定」「リスク分析」「リスク評価」の3つのフェースで行います。

・リスク特定

対策が未実施の項目が、どのようなリスクに繋がるかを特定します。
以下がその例です。
image.png

・リスク分析

特定されたリスクが、どの程度の大きさなのか分析を行います。
「発生する可能性(頻度)」と「発生した場合の損失の大きさ(影響)」を基準に定量的に分析することが望ましいですが、難しい場合は「大」「中」「小」のような簡易的な分類基準とする方法もあります。
以下がその例です。

image.png

・リスク評価

分析されたリスクが、受容可能か対応が必要かを判断します。
以下がその例です。

image.png

③リスク対応

リスクアセスメントの結果をもとに、セキュリティ対策の計画を立てて実行ましょう。
「いつまでに」「何を」実施するかという観点で、実効性の高い計画を立てることが望ましいです。

また、ここで重要なのは、"点数アップが第一の目的では無い"ということです。
自工会から発行されているFAQにおいても以下の記載があります。

image.png

最終的には目標とするレベルを全て満たすよう計画を立てていくことは大切ですが、優先度としては点数アップがしやすい項目から着手するのでは無く、優先的に対策が必要な項目から着手することが望ましいです。

全体の流れは下図のようになります。
image.png

おわりに

私たちがこれまでにご支援してきたセキュリティインシデントの多くは、基本的なセキュリティ対策の不備が原因でした。

また、IPAが公開した「情報セキュリティ10大脅威 2025」では、組織向け脅威の第2位に「サプライチェーンや委託先を狙った攻撃」が挙げられています。これは、攻撃者が必ずしも知名度の高い大企業のみを標的としているわけではないことを示しています。
https://www.ipa.go.jp/security/10threats/10threats2025.html

このような状況を踏まえると、企業規模や知名度にかかわらず、適切なセキュリティ対策を講じることは不可欠です。

攻撃者にとって「コストパフォーマンスの良い標的」とならないためにも、各種ガイドラインを有効活用し、自社のセキュリティ強化につなげていくことが重要です。

自社での対策が難しい場合は、無理に内製化を目指すのではなく、外部の専門機関を活用するのも有効な手段です。
当社でも「セキュリティアセスメントサービス」を提供しておりますので、ぜひお気軽にご相談ください!

参考URL

・日本自動車工業会:自動車産業サイバーセキュリティガイドライン
https://www.jama.or.jp/operation/it/cyb_sec/cyb_sec_guideline.html

・日本自動車工業会:自動車業界サプライチェーンへの推進活動
https://www.jama.or.jp/operation/it/cyb_sec/cyb_sec_supply_chain.html#faq

・IPA:情報セキュリティ10大脅威 2025
https://www.ipa.go.jp/security/10threats/10threats2025.html

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?