自工会/部工会・サイバーセキュリティガイドラインとは？概要と活用のポイントなどを解説

自動車産業は高度な技術と複雑なサプライチェーンを持ち、サイバー攻撃の標的となりやすい分野です。そこで自工会や部工会によるガイドラインは、取引先を含めたサプライチェーンを守る指針として知られています。活用のポイントを確認しておきましょう。

自動車産業を取り巻くサイバー攻撃のリスク

自動車産業は、車両本体だけではなく、製造設備やサプライチェーン全体がデジタル化されており、サイバー攻撃の影響を受けやすい業界です。一度被害が発生すると、製品の安全性や社会的信頼を大きく損なうリスクがあります。

また、攻撃は完成車メーカーだけでなく、部品メーカーや物流事業者にも及び、企業規模を問わず対策が必要です。近年はランサムウェアや不正アクセスに加え、情報漏洩による取引先への影響も深刻化しています。

さらに攻撃者は、セキュリティが比較的弱い中小企業から侵入し、そこを足がかりに大手メーカーへのアクセスを試みる手法を用いることも多くあります。そこで、業界全体での統一的なセキュリティ対策が急務とされている状況です。

自動車業界におけるサイバー攻撃の事例

自動車業界では、さまざまなサイバー攻撃の被害事例が複数発生しており、業界全体の脅威とされています。まずは国内で発生した主な事例を紹介し、それぞれの被害内容や影響を確認しておきましょう。

日本の精密部品メーカーへのランサムウェア攻撃

日本の某精密部品メーカーがランサムウェアグループ「Qilin」の攻撃により、R&Dの設計図を含む500GB程度のデータが盗まれた事件が起こっています。同企業は大手自動車メーカーに対して、ギアやシャフトなど、多くの重要部品を製造する役割を担っていました。

ランサムウェアによる攻撃を受けて、感染サーバーを即座に隔離し、バックアップから業務の復旧を図っています。しかし、技術情報のデータが窃取されたことで、復旧には多大なコストと時間が必要となりました。

この事例は、規模の大小を問わず部品メーカーも攻撃対象となることを示しており、セキュリティ対策の強化の必要性を浮き彫りにしています。

マツダで発生した社員・取引先のアカウント情報の流出

マツダでは外部からの不正アクセスにより、社員や取引先のアカウント情報が流出する事件が発生しました。攻撃者はIDやパスワードを窃取し、内部システムへの侵入を試みたとされています。幸い重大な生産停止には至りませんでしたが、関係先への影響やブランドへの信頼低下が懸念されました。

この事例は、情報資産の管理が不十分な場合、製造現場に直接影響がなくとも深刻なリスクにつながることを示しています。ID・パスワード管理や多要素認証の導入など、基本的な情報セキュリティ対策の徹底が重要です。

トヨタモビリティサービスの不正アクセス被害

トヨタモビリティサービスでは、社用車専用クラウドサービス「Booking Car」を利用した企業や自治体職員の情報が漏洩したと報告しました。

システム開発以前から使われていたアクセスキーにより、不正にデータ保管サーバーへのアクセスがされていたようです。結果として、顧客のメールアドレスや顧客識別番号など、約2万5,000人分の個人情報が漏洩した可能性があるとしています。

同社はすぐに、データサーバーのアクセスキーの変更と、継続的な不正アクセスのモニタリングなどの対応を実施しました。二次被害などは確認されていませんが、クラウドサービスの運用体制を大きく見直すきっかけとなっています。

小島プレス工業へのサイバー攻撃による生産停止

2022年2月、自動車部品メーカーの小島プレス工業株式会社がサイバー攻撃を受け、取引先各社の工場稼働に影響を及ぼしました。同社の納入先の一つであるトヨタ自動車株式会社は、同年3月1日、国内全工場の稼働停止を余儀なくされています。

このサイバー攻撃は、子会社におけるリモート接続機器の脆弱性が起因して、親会社である小島プレス工業株式会社がランサムウェアの攻撃を受けたものです。わずかなセキュリティの不備が全体の生産体制を揺るがす事態につながり、サプライチェーンにおけるリスク管理の重要性を強く示す事例となりました。

本田技研工業の大規模なネットワーク障害

2020年6月、本田技研工業株式会社は、大規模なネットワーク障害が発生したことを発表しました。社内サーバーに外部から侵入したウィルスが拡散し、海外工場拠点の生産停止に見舞われています。

国内の複数の工場で、サイバー攻撃が原因で「完成車検査システム」が一時的に停止し、出荷が見送られました。同日中に復旧したため、生産への影響はありませんでしたが、ランサムウェアが全社的に拡散したと見られています。

攻撃の対象が国内外の拠点に同時多発的に及んだ点から、自動車業界におけるサイバー攻撃の被害事例として有名です。グローバル規模で展開する製造業において、一度の侵入が全世界の拠点に影響を与えるリスクが浮き彫りとなり、統合的なセキュリティ対策の必要性が認識されました。

自工会/部工会・サイバーセキュリティガイドラインとは？

自工会（日本自動車工業会）と部工会（日本自動車部品工業会）が共同で策定した「サイバーセキュリティガイドライン」は、自動車産業全体のサイバーセキュリティレベル向上を目指す共通の枠組みです。

このガイドラインは、サプライチェーン全体に及ぶサイバー攻撃などのリスクに対し、個々の企業だけでは十分な対策が難しいという課題から生まれました。特に、サプライチェーンを構成する中小企業でも導入しやすい内容となっており、業界全体の信頼性を高めることを目的としています。

自工会/部工会・サイバーセキュリティガイドライン【2.2 版】｜JAMA・JAPIA

ガイドライン策定の背景と必要性

自動車産業では、車両の電子化やコネクテッド化が進み、従来以上にサイバー攻撃の脅威が高まっています。特にサプライチェーンの中小企業はセキュリティ対策が不十分な場合が多く、攻撃者に狙われやすい状況があります。

このような背景から、自工会・部工会が中心となり、産業全体で共通して活用できるガイドラインを整備する必要性が高まりました。同ガイドラインは企業ごとのセキュリティレベルに応じた段階的対応を可能とし、業界全体のセキュリティ水準の底上げを目指しています。

ガイドラインの対象となるのは？

同ガイドラインは、自動車メーカーに限らず、部品サプライヤーや関連サービス事業者まで広く対象としています。より具体的には、次のようなセキュリティ関係部門の責任者、担当者向けに策定しています。

• CISO （最高情報セキュリティ責任者）
• リスク管理部門
• 監査部門
• セキュリティ対応部門
• 情報システムの開発/運用部門
• データマネジメント部門
• サプライチェーンの管理責任を負う購買や調達部門
• その他のセキュリティに関わる部門（人事・法務・総務）

ガイドラインでは完成車メーカーはもちろん、取引先や下請け企業にも同等の対策を求めています。特に中小企業にとっては、必要な取り組みを段階的に実行できる仕組みとして、機能させるのが狙いです。

セキュリティガイドラインの構造や特徴

自工会/部工会ガイドラインは、自動車産業に特有の取引構造を考慮し、段階的かつ柔軟に適用できるように設計されています。セキュリティの成熟度に応じたレベル定義や、具体的な分類・ラベルによる明確化がされており、企業は自社の状況に合わせて導入しやすいのが特徴です。

セキュリティレベルの定義

ガイドラインでは、自動車産業サプライチェーン全体のセキュリティ向上を優先課題として、セキュリティレベルを次のように3段階で定義しています。

• LV1：最低限実装すべき項目
• LV2：標準的に目指すべき項目
• LV3：自動車業界が到達点として目指すべき項目

LV1では、中小企業も含めた自動車業界に属する全ての企業が、優先して実施すべき重要項目として位置付けています。

またLV2では、サプライチェーンにおいて社外の機密情報を取り扱う企業や、重要な自社技術・情報を取り扱う会社など、取引や業務上の責任が大きい企業が実装すべき基準です。より高度な管理体制や、継続的な改善が求められます。

LV3では、業界を代表しけん引すべき立場の企業など、取り扱う情報や立場によって、最高水準のセキュリティを保持し、他社の模範となる役割を担うことが期待されています。

24のラベルと目的・要求事項

自工会/部工会ガイドラインは、セキュリティ対策を段階的かつ具体的に実践するため、24のラベルを設けています。分類には組織体制や技術的対策、運用プロセスなどが含まれており、次のように各分野で必要な要件が示されています。

ラベル	目的	要求事項
1 方針	会社として、セキュリティに対する基本的な考え方や方針を示し、社内の情報セキュリティ意識を向上させる	自社の情報セキュリティ対応方針を策定し自組織内に周知していること
2 機密情報を扱うルール	機密情報を扱うルールを定め、社内へ周知することにより、機密漏洩を防止する	機密情報のセキュリティに関する社内ルールを規定していること
3 法令順守	会社として、情報セキュリティに関する法令を順守する	情報セキュリティに関する法令を考慮し、社内ルールを策定すること（法令例：個人情報保護法、不正競争防止法）
4 体制（平時）	情報セキュリティに関する体制および役割を明確化し、保護すべきデータの漏洩・サイバーセキュリティ対策の徹底、強化を図る	平時の情報セキュリティリスクを管理する体制を整備し、事故発生に至らないように、情報収集と共有を行うこと
5 体制（事故時）	情報セキュリティに関する体制および役割を明確化し、事件・事故の発生時に、被害を限定的なものに抑えて最小化し、できるだけ速やかに元の状態へと復旧する	情報セキュリティ事件・事故発生時の対応体制とその責任者を明確にしていること

このようにガイドラインを通じて、企業は自社のセキュリティ状況を詳細に評価し、必要な対策の特定・実践が可能です。

セキュリティガイドラインをうまく活用するためのポイント

ガイドラインの効果的な活用には、単なる要件の機械的な実装ではなく、企業の実情に応じた戦略的なアプローチが重要です。以下のポイントを意識して、継続的に自社のセキュリティレベルを高めていきましょう。

企業におけるセキュリティポリシーの策定及び対策の実装

効果的なセキュリティポリシーの策定には、まず自社のビジネスプロセスやIT環境、リスクプロファイルの詳細な分析が不可欠です。ガイドラインを参考に、経営陣が明確なセキュリティビジョンを示し、全従業員がその重要性を理解する企業文化の醸成が重要です。

ポリシーの策定においては、抽象的な原則論にとどまらず、日常業務に即した具体的な行動指針まで詳細に規定することが成功のポイントです。

さらに実装段階では、技術的対策と組織的対策のバランスを取りつつ、段階的に対応レベルを向上させる必要があります。特に中小企業では、限られたリソースを効果的に活用するため、重要度の高い対策から優先的に実施し、徐々に対策範囲を拡大していくアプローチが推奨されます。

自動車産業における信頼のチェーン構築への活用

サプライチェーン全体での信頼関係構築は、自動車産業におけるサイバーセキュリティの最重要課題の一つです。ガイドラインを活用した信頼のチェーン構築では、取引先企業間でのセキュリティ要件の統一と共有が求められます。

大手メーカーは、自社のセキュリティ基準を一方的に押し付けるのではなく、サプライヤーの実情を理解した上で、実現可能な要求レベルを段階的に設定することが重要です。

定期的なセキュリティ監査や情報共有会議を通じて、サプライチェーン全体のセキュリティ意識と、対策レベルの継続的な向上を図りましょう。一方、小規模なサプライヤーに対しては、技術支援や教育プログラムの提供など、継続的なサポートにより、業界全体のセキュリティレベルの底上げが可能です。

企業におけるセキュリティの教育・訓練・啓発活動への活用

ガイドラインを有効に機能させるには、従業員の意識の向上も欠かせません。教育や訓練・啓発活動を定期的に実施し、セキュリティを組織文化として根付かせることが必要です。

例えば、実際のインシデントを想定した訓練や、日常的な情報管理に関する研修を行うことで、従業員が主体的に取り組む環境を整えられます。ガイドラインは、こうした教育活動の教材や基盤としても活用でき、実効性を伴った組織づくりに直結します。

また、職種や責任レベルに応じてカスタマイズされた教育も必要です。経営層向けのセキュリティガバナンス研修や技術者向けのセキュアコーディング講習、一般従業員向けの基礎的なセキュリティ教育など、対象者に最適化したアプローチを検討しましょう。

ガイドラインに基づいて段階的に対応を進めよう

自工会/部工会のサイバーセキュリティガイドラインは、自動車産業全体でのリスク低減と信頼確保を目指す重要な指針です。サプライチェーン全体を対象とすることで、一社の被害が業界全体に波及するリスクを軽減し、強固なセキュリティ体制の構築につながります。

ただし、策定された文書を形式的に参照するのではなく、ポリシーの策定やシステム実装、教育・啓発など具体的な行動に落とし込むことが大切です。自社の対策強化だけでなく、取引先企業との連携や情報共有にも注力しましょう。

なお、こうした取り組みを着実に進めるには、ガイドラインを現場レベルで運用できる仕組みに落とし込む必要があります。セキュリティ状況を可視化し、取引先との共通基準で評価できる「Watchy」を活用すれば、自社の成熟度を客観的に把握しつつ、改善活動を効率的に進められます。

ガイドラインの要求事項を反映したチェック機能により、対応漏れや弱点を早期に発見でき、限られたリソースでも、着実にセキュリティレベルの引き上げが可能です。この機会にぜひ、導入を検討してみましょう。また、以下の自工会ガイドラインのチェックリスト付き資料も、併せてご確認ください。

＞＞自工会・部工会サイバーセキュリティガイドライン（チェックリスト付き）

Watchy（ウォッチー） - クラウド型IT資産管理・ログ管理ツール