NTT Security Japan

お問い合わせ

Products & Services

自動車産業向けサイバーセキュリティガイドライン対策パック

自動車産業は「100年に一度の大変革期」

自動車産業はこれまで、工場で車を生産し、ディーラーで販売するという「製造業」のビジネスモデルを基盤としてきました。これからは、自動運転をはじめとした新たな付加価値を提供するモビリティビジネスへの転換が求められています。100年に一度の大変革期が始まっているのです。
変革のキーワードはConnected、Autonomous、Shared & Service、Electricの4つ。頭文字を取って「CASE革命」とも呼ばれています。

業界を取り巻くサイバーセキュリティの状況は?

自動車業界の「CASE革命」が進む中で、企業の情報システム(IT)やOT(Operational Technology)システム、あるいは自動車本体に対するサイバー攻撃の危険性が増加しています。サイバーセキュリティの強化は、完成車メーカー(OEM)だけでなく、サプライチェーン全体で早急に取り組まなければならない課題です。

業界を取り巻くサイバーセキュリティに悩む人

  • コーポレートセキュリティ

    会社全体のセキュリティ対策

    「自動車産業サイバーセキュリティガイドライン」に基づき、会社としてのセキュリティを担保

  • 製品セキュリティ

    CSMS:Cyber Security Management System

    企画・開発・車両量産・運用保守・廃棄まで全てのプロセスでセキュリティを担保

  • PSIRT

    インシデント発生時の調査・解決を担うPSIRT(製品セキュリティインシデント対応チーム)を構築

  • 車両SOC

    コネクテッドカーへのサイバー攻撃を素早く検知しPSIRTと連携して対応

  • 工場セキュリティ

    (OTセキュリティ)

    生産現場(工場)などのOTシステムにおけるセキュリティを担保

  • SBOM

    Software Bill of Materials

    ソフトウェアの脆弱性を管理

自動車産業におけるサイバーセキュリティの全体図(イメージ)

企画から廃棄までの製品ライフサイクル全体にわたるコーポレートセキュリティの構成図。製品セキュリティ(CSMS)、SBOM、工場セキュリティ(OTセキュリティ)、PSIRT、車両SOCなどの要素が、各フェーズと関連付けられて示されています。

セキュリティ対策の第一歩は、
サイバーセキュリティガイドラインへの対応から

日本自動車工業会(JAMA)と日本自動車部品工業会(JAPIA)の自動車産業サイバーセキュリティガイドラインでは、企業のサイバーセキュリティ対策の実施状況について、チェックシート(153項目)で自己評価ができます。

自動車産業のサプライチェーンに関わる全ての企業は、規模にかかわらず、チェックシートのLv1(最低限実装すべき項目)とLv2(標準的に目指すべき項目)を達成することが求められています。

NTTセキュリティ・ジャパンの調査による分類では、Lv1とLv2の項目のうち、「ルール・運用」に関わる項目が58%、「教育」に関わる項目が19%、「技術的対策」に関わる項目が23%でした。一般的には「技術的対策」に注目しがちですが、Lv1とLv2を達成するためには「ルール・運用」と「教育」についても適切に対応することが大変重要です。

ルール運用 58%、教育 19%、技術的対策 23%

Lv1とLv2の達成を目指すポイント

  1. 01正確な現状把握

    何ができていないか?を
    できるだけ正確に把握します。

    正確な現状把握

  2. 02リスクベースの対策

    ランサムウェアなどの重大脅威に
    対して効果的な対策を、
    できることから実施します。

    リスクベースの対策

  3. 03「技術」「ルール・運用」
    「教育」 対策のバランス

    技術的対策だけに注力することなく、
    ルールや運用手順の整備、社員の
    セキュリティ教育や訓練を実施します。

    「技術」「ルール・運用」「教育」 対策のバランス

サイバーセキュリティ
ガイドラインを活用して、
セキュリティを強化!NTTセキュリティ・ジャパンは
Lv1・Lv2達成に向けて
3つのSTEPで支援します

自動車産業サイバーセキュリティガイドライン対策パック

  1. Step1現状把握と評価

    現状評価を行い、対策優先順位を決定
    (ガイドラインのチェックシートにも対応)

    現状把握と評価のイメージ詳しく見る

  2. Step2ルール整備と教育

    セキュリティ管理規定の整備と
    教育&標的型メール訓練

    ルール整備と教育のイメージ詳しく見る

  3. Step3技術的対策強化

    サイバー攻撃を予防・検知するための
    対策を実施

    技術的対策強化のイメージ詳しく見る

STEP2、STEP3はSTEP1の結果に応じてご提案いたします

自動車産業サイバーセキュリティ
ガイドライン

Lv1・Lv2達成

さらなる対策強化を行いたい場合

セキュリティ対策を継続的に行える
体制を構築(オプション)

Lv3達成

オプションについてはお問い合わせください

Step1

現状把握と評価

客様の現状を正確に把握し、セキュリティリスクを可視化。
実施すべき対策の優先順位をわかりやすく提示し、対策プランの策定をサポートします。

現状把握と評価のイメージ

サイバーセキュリティリスク診断
(サイバーセキュリティリスクの総合評価)

基本
セキュリティ専門家によるヒアリング問診票(約280項目)にご回答ください。問診票をもとに、セキュリティの専門家が3時間×2回、計6時間程度のヒアリングを行います。
ASM(Attack Surface Management)を活用したリスク診断ハッカー目線で、インターネットに公開されている情報を調査して脆弱性を把握します。
報告会自動車産業サイバーセキュリティガイドラインへの適応状況をご報告します。
対策プランの策定をサポート緊急対応・優先課題を明確化し、何から対応すべきかをご提示します。
お客様とサービス提供者間の健康診断サービスのワークフロー図。準備フェーズでは、サービス提供者がお客様に質問票を送付し、お客様が記入して返送します。ヒアリングフェーズでは、サービス提供者が質問票に基づきヒアリングを実施し、評価・分析を行います。報告フェーズでは、サービス提供者がお客様に診断結果を報告します。
オプション
実施計画策定報告書で提示した対策プランに基づいて、予算計画も含め具体的な実施計画を提案します。

サイバーセキュリティリスク診断
4つの特徴

  1. 01専門家による
    正確な診断結果が得られる

    「自動車産業サイバーセキュリティガイドライン」のチェックシートに、正確かつ容易に回答できます。

  2. 02対策の優先順位を
    把握できる

    「管理系」「デバイス」「ネットワーク」「クラウド」などのカテゴリ別に、緊急課題と優先課題を把握できます。

  3. 03対策プランニングが
    できる

    優先順位がわかることで、何の対策から実施すべきか計画を立てられます。

  4. 04対策実施状況の
    エビデンスになる

    報告書は、OEMや上位Tierに対して対策実施状況を説明するために利用できます。

診断結果のサンプルをご用意しています。
詳しく知りたい方は
ぜひダウンロードしてください

診断結果のイメージダウンロードはこちら
Step2

ルール整備と教育

セキュリティ強化に欠かせない「セキュリティ管理規定整備」と「セキュリティ教育」について、
専門家の知見に基づくサポートをご提供します。

現状把握と評価のイメージ

セキュリティ管理規定整備

基本
規定のひな型と解説動画を提供お客様の状況に合わせてカスタマイズできる2種類(大企業向け、中小企業向け)のひな型と、どうやって自社に適応させるか解説した動画教材をご提供します。お客様は、動画教材を見ながらひな型をカスタマイズすることで、規定を作成できます。
オプション
相談対応(チケット制)ひな型のカスタマイズに関して、専門家がオンラインでサポートします。
お客様とサービス提供者間の健康診断サービスのワークフロー図。準備フェーズでは、サービス提供者がお客様に質問票を送付し、お客様が記入して返送します。ヒアリングフェーズでは、サービス提供者が質問票に基づきヒアリングを実施し、評価・分析を行います。報告フェーズでは、サービス提供者がお客様に診断結果を報告します。

作成できる規定のサンプルを
ダウンロードしていただけます

ダウンロードはこちら

インシデント対応手順の
作成支援

セキュリティ管理規定を整備する上で優先的に実施すべきことはインシデント対応手順・フローの整備です。
お客様の実情に合わせた対応手順の作成をご支援します。

セキュリティ教育&標的型メール訓練

基本
セキュリティ教育充実した教育コンテンツをご用意しています。デバイスを問わず、動画講座や確認テストの受講が可能なeラーニング教材です。
標的型メール訓練豊富なテンプレートとランディングページを活用し、本番さながらの攻撃を疑似体験できる訓練をご提供します。
効果測定分析教育の受講状況や、標的型メール訓練の結果を数値化して報告します。
オプション
教育プランニング支援「自動車産業サイバーセキュリティガイドライン」のLv1・Lv2を達成するために要求されている事項に対して、教育受講者(経営者・管理職・システム管理者・営業担当・事務職など)を定義。誰が、どのような教育を、いつ受講すればよいかをご提案します。

セキュリティ教育・訓練の年間スケジュールのサンプルをご用意しています。詳しく知りたい方は
ぜひダウンロードしてください。

年間スケジュールのイメージダウンロードはこちら
Step3

技術的対策強化

サイバー攻撃を予防・検知するために必要な技術的対策をご提供します。

技術的対策強化のイメージ
推奨
SOC(Security Operation Center)の簡単導入サービス「SOC in Pocket」ハードウェア(セキュリティおまかせBOXTM)を設置するだけでサイバー脅威を検知し、推奨される対応を通知します。

サービスの詳しいご紹介はこちらから

SOC in Pocketを見る
個別お見積
ゲートウェイセキュリティ外部ネットワークと社内ネットワークの境界で不正通信をブロックします。
エンドポイントセキュリティ端末をサイバー攻撃から守るため、複数のソリューションを組み合わせて対策を実施します。
メールセキュリティスパムメールの自動遮断や、添付ファイルの暗号化などを行います。
ランサムバックアップ定期的にバックアップを取得し、万が一ランサムウェアの被害を受けた場合でも早急に復旧できるように備えます。
内部脆弱性診断各種機器の設定状態を確認し、脆弱性を診断します。

他にもさまざまなソリューションをご用意しており、お客様の状況に合わせたご提案が可能です。

お問い合わせはこちら

STEP2、STEP3と併せて、
さらなる対策強化を行いたい場合

「自動車産業サイバーセキュリティガイドライン」のLv3達成を目指すお客様のために、
さらなる対策のご提案も可能です。

さらなる強化対策のイメージ
個別お見積
OTセキュリティ(工場セキュリティ)工場セキュリティガイドラインの遵守を支援します。
情報システム部支援・業務代行サーバー・ネットワークの運用・監視、構成管理、障害・トラブル対応などを支援、代行します。
CSIRT代行インシデント発生時の対応を行うCSIRTの業務を代行します。
セキュリティ教育代行STEP2のセキュリティ教育プログラムを毎年更新し、継続してご支援します。
SOC高度化専門のアナリストが脅威の解析と判断を行い、インシデントへの遠隔対応などを含め手厚くサポートします。

OTセキュリティ対策に向けて提供している
サービスをご紹介しています

OTセキュリティを見る

Lv3達成を目指す場合はご相談ください

お問い合わせはこちら

まとめ

一般的なガイドライン対策ソリューションは、課題ごとに用意されているものが主流であるため、「自社のセキュリティにどのような課題があるか」、「どういった対策を実施するべきか」をお客様ご自身で判断しなくてはなりません。

NTTセキュリティ・ジャパンは、「正確な現状把握が適切な対策(カイゼン)に繋がる」をモットーに、専門家によるサイバーセキュリティリスク診断から、具体的なソリューションまで含む「自動車産業サイバーセキュリティガイドライン対策パック」をご提供します。「何から手をつけていいのかわからない」というお客様から、より高度な対策強化を求めるお客様まで利用しやすいのが特徴です。お客様のご予算や事業状況を踏まえた最適な進め方をご提案しますので、まずはお気軽にお問い合わせください。

まとめ

お客様の業務課題に応じて、
さまざまなソリューションの中から最適な組み合わせで、ご提案します。
お困りのことがございましたらお気軽にお問い合わせください。

サービスカタログダウンロードお問い合わせはこちら
サービスカタログダウンロードお問い合わせ