BSI (連邦情報セキュリティ局):自動車業界状況報告2022/2023 自動車産業と道路輸送におけるサイバーセキュリティの状況
こんにちは、丸山満彦です。
ドイツの連邦情報セキュリティ局が自動車業界の情勢報告2022/2023を公表していますね。。。「サイバーセキュリティが鍵」というメッセージですね。これは、昨年に2022.09.19、一昨年に2021.09.07に発表された報告書に続く、第3版です。
サプライチェーンには当然触れられているのですが、自動車単体というよりも、自動車を取り巻く環境全体(充電ステーション、標識等も含めて)検討することが重要ですよね。。。
● Bundesamt für Sicherheit in der Informationstechnik: BSI
プレス...
・2023.09.01 BSI beleuchtet Cybersicherheit in der Automobilbranche
| BSI beleuchtet Cybersicherheit in der Automobilbranche | BSI、自動車産業におけるサイバーセキュリティを強調 |
| Auf der IAA Mobility 2023 stellt das BSI das neue Branchenlagebild Automotive vor und zeigt aktuelle Angriffsszenarien auf eigenem Messestand zum Anfassen | IAAモビリティ2023では、BSIが自動車業界の新しい状況報告書を発表し、自社の見本市ブースで現在の攻撃シナリオを紹介する。 |
| Neben alternativen Antriebsenergien wie Strom und Wasserstoff gibt es längst weitere wichtige Treibstoffe moderner Fahrzeuge: Daten, Algorithmen und Vernetzung. Sie müssen aber vor Diebstahl, Missbrauch und Erpressungsversuchen sicher sein. Nur so entsteht das notwendige Vertrauen bei Anwenderinnen und Anwendern in die neuen Technologien – und nur so können Daten, Algorithmen und Vernetzung einen produktiven Beitrag zur sicher vernetzten Mobilität leisten. | 電気や水素といった代替駆動エネルギーに加え、データ、アルゴリズム、ネットワーキングといった現代の自動車にとって重要な燃料が登場して久しい。しかし、それらは盗難や悪用、恐喝の企てから安全でなければならない。これこそが、新しいテクノロジーに対するユーザーの必要な信頼を生み出す唯一の方法であり、そうして初めて、データ、アルゴリズム、ネットワーキングは、安全にネットワーク化されたモビリティに生産的に貢献することができるのだ。 |
| Zwar sieht das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei den aktuell zugelassenen Fahrzeugen ein ausreichendes Cybersicherheitsniveau. Gleichzeitig arbeitet es als Cybersicherheitsbehörde des Bundes mit seinen Partnern aus Behörden, Institutionen, Wissenschaft und Wirtschaft aktiv in nationalen und internationalen Regulierungs- und Standardisierungsvorhaben daran, Fahrzeuge auch im Hinblick auf zukünftige Technologien abzusichern. Dazu seien weitere Anstrengungen und ein abgestimmtes Handeln entlang der Lieferkette erforderlich. Das sind die Kernaussagen des „Branchenlagebild Automotive – Cyber-Sicherheit in der Automobilbranche 2022/2023“, das das BSI zur IAA Mobility 2023 in München vorstellt. | ドイツ連邦情報セキュリティー局(BSI)は、現在登録されている車両のサイバーセキュリティーレベルは十分だと考えている。同時に、連邦サイバーセキュリティ当局として、当局、機関、科学、産業界のパートナーとともに、国内および国際的な規制・標準化プロジェクトに積極的に取り組み、将来の技術に関しても自動車の安全性を確保している。そのためには、サプライチェーンに沿ったさらなる努力と協調行動が必要である。これらは、BSIがミュンヘンで開催されるIAAモビリティ2023で発表する「自動車セクター状況報告書-自動車セクターにおけるサイバーセキュリティ2022/2023」の中核をなす記述である。 |
| „Die Zukunft der gesamten Mobilität hängt maßgeblich von der Cybersicherheit ab“, sagt Arndt von Twickel, Leiter des Referats „Cybersicherheit für intelligente Transportsysteme und Industrie 4.0“ im BSI. „Die durchgehende Digitalisierung bei Elektromobilität, Vernetzung und Automatisierung eröffnet der Branche neue Chancen, stellt sie aber auch vor Herausforderungen. Wenn Fahrzeuge mit komplexer IT-Hard- und Software ausgestattet und durchgehend online sind, dann sind sie auch anfällig für Cyberangriffe. Cybersicherheit macht die Branche resilienter und sorgt für mehr Vertrauen bei den Verbraucherinnen und Verbrauchern.“ | 「モビリティ全体の将来は、サイバーセキュリティに大きく依存している」と、BSIの「高度道路交通システムとインダストリー4.0のためのサイバーセキュリティ」部門の責任者であるアーント・フォン・トゥイッケルは言う。「エレクトロモビリティ、ネットワーキング、オートメーションにおけるエンド・ツー・エンドのデジタル化は、業界に新たな機会をもたらすが、同時に課題も突きつける。自動車が複雑なITハードウェアとソフトウェアを搭載し、継続的にオンライン化される場合、サイバー攻撃にも脆弱になる。サイバーセキュリティは業界をより強靭にし、消費者の信頼を高める。" |
| Zentrale Inhalte des Lagebildes | 状況報告書の主な内容 |
| Für den Berichtszeitraum Juli 2022 bis Juni 2023 enthält das Branchenlagebild Automotive: | 2022年7月から2023年6月までの報告期間について、自動車業界の状況報告書には以下の内容が含まれている: |
| ・Auswirkungen von Cyberkriminalität: Es beleuchtet IT-Vorfälle mit Bezug zu Produkten und Technologien; auch solche, die bereits im Straßenverkehr eingesetzt werden. Die höchste Schadenswirkung in der Automotive-Branche geht dem Lagebild zufolge von cyberkriminellen Angriffen mit Ransomware und Daten-Leaks aus („Double Extortion“). | ・サイバー犯罪の影響:すでに道路交通で使用されているものも含め、製品や技術に関連するITインシデントを取り上げている。状況報告書によると、自動車産業への影響が最も大きいのは、ランサムウェアとデータ漏洩(「二重の恐喝」)によるサイバー犯罪者の攻撃である。 |
| ・Einschätzungen zur Cybersicherheit von Produktionsanlagen und -prozessen. | ・生産施設とプロセスのサイバーセキュリティの評価。 |
| ・Hinweise zur Ausnutzung von Sicherheitslücken für Autodiebstähle und zum unbefugten Öffnen von Fahrzeugen. | ・セキュリティの脆弱性を悪用した自動車の盗難や不正開錠に関する情報。 |
| ・Beschreibung von Angriffen auf Schwachstellen im Kommunikationsprotokoll oder anderen Sicherheitsmechanismen, die für die Steuerung der Ladevorgänge zwischen Fahrzeug und Ladestation eingesetzt werden. | ・車両と充電ステーション間の充電プロセスを制御するために使用される通信プロトコルやその他のセキュリティ機構の脆弱性に対する攻撃の説明。 |
| ・Einschätzungen zu neuen gesetzlichen Regelungen und Standardisierungsaktivitäten. | ・新たな法的規制や標準化活動の評価。 |
| ・Ausblicke auf technologische und regulative Entwicklungen, die in den kommenden Jahren von Bedeutung sein werden. | ・今後数年間で重要になるであろう技術的・規制的発展についての見通し。 |
| Das BSI auf der IAA Mobility 2023 | IAAモビリティ2023におけるBSI |
| Auf seinem Stand F31 in Halle B1 zeigt das BSI mit insgesamt drei Exponaten, wie aktuelle Bedrohungsszenarien konkret aussehen. | ホールB1のスタンドF31において、BSIは合計3つの展示を行い、現在の脅威シナリオが具体的にどのようなものかを示す。 |
| ・KI-unterstützte Verkehrsschildklassifikation: Das Exponat ermöglicht es den Besucherinnen und Besuchern, in die Rolle des Angreifers zu schlüpfen und durch leichte, für Menschen unverdächtige Änderungen am Schild das KI-System zu einer Fehlfunktion zu verleiten. | ・AIが支援する交通標識の分類:この展示では、来場者が攻撃者の役割になりきり、人間には不審に思われないわずかな変更を標識に加えることで、AIシステムを誤作動させることができる。 |
| ・Fahrsimulator: Hier können Angriffe auf funkgesteuerte Schließ- und Infotainment-Systeme oder gar ein Eingriff in das Fahrverhalten simuliert werden. | ・ドライビング・シミュレーター:ここでは、ラジコンやインフォテインメント・システムへの攻撃、あるいは運転行動への介入をシミュレートすることができる。 |
| ・E-Ladesäulen: An einer nachgebauten Ladestation für E-Autos können Attacken auf den Ladevorgang durchgeführt werden. | ・電子充電ステーション: 充電プロセスへの攻撃は、電子自動車用の模擬充電ステーションで実行することができる。 |
・[PDF]
・[DOCX] 仮訳
目次的な感じ...
1.はじめに
2 自動車産業におけるサイバーセキュリティ
2.1 サイバー犯罪による危険
推奨措置
2.2 サプライ・チェーンにおける情報セキュリティの重要性
兵器・テクノロジー企業へのサイバー攻撃
国際的ITセキュリティ・サービス・プロバイダーへのサプライチェーン攻撃
自動車サプライヤーへのランサムウェア攻撃
3 道路交通におけるサイバーセキュリティ
3.1 コネクテッド・ドライビング
車両盗難
ロールコード不足
CANインジェクション
自動車業界におけるウェブとAPIの脆弱性
SQLインジェクション
3.2 充電におけるサイバー・セキュリティ
充電中の攻撃面
予防
3.3 交通インフラ
4 生産工場とプロセスにおけるサイバーセキュリティ
4.1 生産における課題としてのデジタル化
4.2 脆弱性管理
4.3 サービス・プロバイダーとリモート・サービス
5 対策と活動
5.1 輸送分野におけるサイバーセキュリティのための規制と標準化
5.2 NIS-2指令に基づく企業の新規制
5.3 BSIの協力と活動
オートメーションと人工知能
車載ソフトウェア
6 展望
将来の規制
参考(過去の報告書)
・2022.09.19 [PDF] 自動車業界レポート2021/2022年 第2版
・[DOCX] 仮訳
・2021.09.07 [PDF] 自動車業界レポート 第1版
・[DOCX] 仮訳
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.09.22 ドイツ BSI (連邦情報セキュリティ局):自動車業界状況報告2021/2022
・2021.09.08 独国 BSI 自動車業界におけるサイバーセキュリティ
Comments