ENISA コネクテッド&オートメーテッド・モビリティ(CAM)エコシステムの安全性を確保する方法
こんにちは、丸山満彦です。
ENISAがコネクテッド&オートメーテッド・モビリティ(CAM)エコシステムの安全性を確保する方法についての報告書を公開していますね。。。CAMが直面するサイバーセキュリティ上の課題の分析と、課題を軽減するための実行可能な提言が書かれています。。。
自動車産業は急速にEVシフト、自動運転シフトが進んでいくと思いますので、技術動向に合わせて規制がどうあるべきかも含めて検討を進めていくことが重要ですよね。。。人類共通の人命に関わる問題なので、仲良く決められると良いですね。。。
● ENISA
・2021.05.05 (news) How to Secure the Connected & Automated Mobility (CAM) Ecosystem
The European Union Agency for Cybersecurity discloses an in-depth analysis of the cybersecurity challenges faced by the CAM sector and provides actionable recommendations to mitigate them.
報告書の概要は...
Which challenges does the report identify? | 報告書ではどのような課題が指摘されていますか? |
The report published today provides recommendations for each challenge identified, such as: | 本日発表された報告書では、特定された課題ごとに以下の提言を示しています。 |
Governance and cybersecurity integration into corporate activity | 企業活動におけるガバナンスとサイバーセキュリティの統合 |
Cybersecurity governance in the CAM ecosystem represents an organisational and technical challenge for all stakeholders concerned. Recommendations given include: | CAMエコシステムにおけるサイバーセキュリティのガバナンスは、すべての関係者にとって組織的・技術的な課題です。提言は以下の通りです。 |
・promote the integration of cybersecurity along with digital transformation at the board level in the organisation; | ・組織内の役員レベルで、デジタルトランスフォーメーションとともに、サイバーセキュリティの統合を推進する。 |
・promote procurement processes to integrate cybersecurity risk-oriented requirements. | ・サイバーセキュリティのリスク指向の要件を統合するための調達プロセスを促進する。 |
Technical complexity in the CAM ecosystem | CAMエコシステムにおける技術的な複雑さ |
Dependencies, interactions and supply chain management in this sector are a well-known challenge acknowledged by the majority of the actors involved. Recommendations given include: | この分野における依存関係、相互作用、サプライチェーンマネジメントは、関係者の大半が認める周知の課題です。提言は以下の通りです。 |
・promote the use of suitable certification schemes; | ・適切な認証スキームの使用を促進する。 |
・promote security assessment for both on-board and off-board solutions and standardise the discovery and remediation of vulnerabilities during the lifetime of the product. | ・オンボードおよびオフボードソリューションのセキュリティ評価を促進し、製品のライフタイムにおける脆弱性の発見と修正を標準化する。 |
Lack of expertise and skilled resources for CAM cybersecurity | CAMのサイバーセキュリティに関する専門知識と熟練した人材の不足 |
The lack of human resources with expertise in cybersecurity on the market is a major obstacle that hinders the adoption of security measures specific to CAM products and solutions. | サイバーセキュリティの専門知識を持つ人材が市場に不足していることが、CAM製品やソリューションに特化したセキュリティ対策の採用を妨げる大きな障害となっています。 |
・encourage cross-functional security and safety knowledge exchange between IT/OT and mobility experts respectively; | ・IT/OTとモビリティの専門家の間で、機能横断的なセキュリティと安全の知識交換を促進する。 |
・introduce programmes at schools and universities to address the lack of security and safety knowledge across the industry. | ・業界全体におけるセキュリティと安全に関する知識の不足を解消するため、学校や大学でプログラムを導入する。 |
Such challenges are only an example of the important challenges addressed in the ENISA Report – Recommendations for the Security of Connected and Automated Mobility (CAM). | このような課題は、ENISAレポート「Connected and Automated Mobility (CAM)のセキュリティに関する提言」で取り上げられている重要な課題の一例に過ぎません。 |
報告書は...
・2021.05.05 (publish) Recommendations for the security of CAM
・[PDF] Recommendations for the security of CAM
1. INTRODUCTION | 1. 序論 |
1.1 STUDY OBJECTIVES AND SCOPE | 1.1 調査の目的と範囲 |
1.2 TARGET AUDIENCE | 1.2 対象者 |
1.3 DOCUMENT STRUCTURE | 1.3 ドキュメントの構成 |
2. CYBERSECURITY CHALLENGES AND RECOMMENDATIONS IN THE CAM AREA | 2. CAM領域におけるサイバーセキュリティの課題と提言 |
2.1 GOVERNANCE AND CYBERSECURITY INTEGRATION INTO CORPORAT ACTIVITIES | 2.1 企業活動におけるガバナンスとサイバーセキュリティの統合 |
2.2 LACK OF TOP MANAGEMENT SUPPORT AND CYBERSECURITY PRIORITISATION | 2.2 トップマネジメントの支援とサイバーセキュリティの優先順位付けの欠如 |
2.3 TECHNICAL COMPLEXITY IN THE CAM ECOSYSTEM | 2.3 CAMエコシステムにおける技術的複雑さ |
2.4 TECHNICAL CONSTRAINTS FOR IMPLEMENTATION OF SECURITY INTO CAM | 2.4 CAMにセキュリティを実装する際の技術的制約 |
2.5 FRAGMENTED REGULATORY ENVIRONMENT | 2.5 断片化された規制環境 |
2.6 LACK OF EXPERTISE AND SKILLED RESOURCES FOR CAM CYBERSECURITY | 2.6 CAMのサイバーセキュリティに関する専門知識と熟練したリソースの不足 |
2.7 LACK OF INFORMATION SHARING AND COORDINATION ON SECURITY ISSUES AMONG THE CAM ACTORS | 2.7 CAM関係者の間でのセキュリティ問題に関する情報共有と調整の欠如 |
参考
● まるちゃんの情報セキュリティきまぐれ日記
・2021.04.20 気になった記事2つ(大変革期に突入した自動車産業とサイバーセキュリティ、クラウドネイティブセキュリティ101)
・2021.04.10 欧州自動車工業会 事務局長の声明:自動車業界は車両データを積極的に共有し、消費者の選択と安全・安心を第一に考える
・2021.03.15 欧州データ保護委員会 (EDPB) コネクテッド・カーおよびモビリティ関連アプリケーションにおける個人データの処理に関するガイドラインの最終版を公表
・2021.02.12 ENISA 人工知能を使った自律走行におけるサイバーセキュリティの課題
・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16
・2020.06.26 国土交通省 自動運行装置(レベル3)に係る国際基準が初めて成立しました
・2020.03.31 トヨタ自動車製 DCU (ディスプレイコントロールユニット) に脆弱性
少し古くなりますが・・・
・2016.10.26 U.S. DOT issues Federal guidance to the automotive industry for improving motor vehicle cybersecurity
・2012.06.21 IPA 「2011年度 自動車の情報セキュリティ動向に関する調査」報告書の公開 ~ネットワーク化・オープン化の進む自動車にセキュリティを~
・2012.04.25 自動車のオープンソース化は危険ではないか、という意見
« Cloud Security Alliance がクラウド利用時のインシデント対応のためのガイドを公表していますね。。。 | Main | ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています »
Comments