自動車業界では、電動化、自動運転、コネクテッドカーなどへのシフトが進む。その一方でサイバーリスクは高まり、自動車業界では、自動車のセキュリティ対策に強い危機感を抱いている。

こうした中、デロイト トーマツ サイバーでコンサルティングを手掛ける泊氏は、自動車業界に求められるサイバー脅威対策として4つのポイントを指摘する。「1つ目は一般企業と同じITセキュリティ。2つ目は工場設備の制御セキュリティ。3つ目は走る精密機器になった自動車自体。そして4つ目が、車が外の世界とつながるコネクテッドサービスに対するセキュリティだ」（泊氏）。

そのうえで泊氏は、「攻撃者は相互に連携するようになり、攻撃ツールも安価に入手しやすくなっている。さらに攻撃には明確な意図がある。これを個社で守ることは難しい。従来の企業グループなどの枠を超えた情報共有、連携体制の構築が求められる。一緒に守らないと勝ち目はない」と語る。その対応の鍵を握ると期待されているのが、サイバーセキュリティ情報共有組織のISAC（Information Sharing and Analysis Center）。日本の自動車業界では、J-Auto-ISACがその重要な役割を果たす。

日本自動車工業会（自工会）の上原氏は、J-Auto-ISACについてこう説明する。「2017年1月、自工会の中にWG（ワーキンググループ）として小さく立ち上げた。その後は基盤固めを継続し、2021年4月に国内の全自動車メーカー14社とサプライヤー7社の全21社で、社団法人を立ち上げるところまでこぎつけた」（上原氏）。

J-Auto-ISACは、自動車サイバーセキュリティ脅威情報や脆弱性情報の収集、解析、配信のほか、国内外の関連情報の精査、技術検討、共有などを行う。「コストも工数もノウハウも、サイバー脅威対策を個社で施すのはつらい。みんなで力を結集して情報を集めてノウハウを蓄積し、“協調領域”として業界全体で対応していく」（上原氏）と言う。

自動車部品工業会（部工会）の中川氏は、部品サプライヤーの立場からこう語る。「自動車のセキュリティ対応は、安心・安全、品質に関わる部分。自動車メーカーだけでなく、サプライヤーにとっても、品質、信頼を勝ち得ていく上で重要な要件だ」（中川氏）。

中川氏はサイバー脅威について、これまでの品質管理とは異なる視点も必要だと訴える。「品質問題は統計的・確率的に対策が取れるが、サイバー脅威は標的型攻撃のように第三者の意思が入り込むため、対策の仕方が異なる。例えば自社のサプライチェーンだけでなく、収集した脅威の情報を他社のサプライチェーンとも共有することが、安心・安全の実現と品質の確保につながる」（中川氏）と指摘する。J-Auto-ISACが立ち上がって、しっかり業界で情報を共有するという役割を果たしていくことが不可欠な状況になっているのだ。

泊氏は「安心・安全、供給責任は自動車業界にとって使命。これを脅かすことがサイバー脅威の怖いところだ。最重要の経営リスクであると認識して、業界全体が本気で取り組まなければならない」と訴えた。

これを受けて上原氏は、「J-Auto-ISACが目指すサイバーセキュリティ対策には、山の頂上のようなゴールはない。攻撃者は常に進化していくため、これに常に追従できる体制が必要だ。攻撃者は賢く、私たちは皆で手を組んで守り合っていかなければならない。サイバーセキュリティ対策はチームスポーツと同じ。チームに1人でも弱い選手がいるとそこから負けにつながる。全体を底上げして、皆で“共闘”していきたい」と今後の抱負を語った。