自動車産業サイバーセキュリティガイドライン対策パック
自動車産業は「100年に一度の大変革期」
自動車産業はこれまで、工場で車を生産し、ディーラーで販売するという「製造業」のビジネスモデルを基盤としてきました。これからは、自動運転をはじめとした新たな付加価値を提供するモビリティビジネスへの転換が求められています。100年に一度の大変革期が始まっているのです。
変革のキーワードはConnected、Autonomous、Shared & Service、Electricの4つ。頭文字を取って「CASE革命」とも呼ばれています。
業界を取り巻く
サイバーセキュリティの状況は?
自動車業界の「CASE革命」が進む中で、企業の情報システム(IT)やOT(Operational Technology)システム、あるいは自動車本体に対するサイバー攻撃の危険性が増加しています。サイバーセキュリティの強化は、完成車メーカー(OEM)だけでなく、サプライチェーン全体で早急に取り組まなければならない課題です。
- コーポレートセキュリティ
会社全体のセキュリティ対策 - 「自動車産業サイバーセキュリティガイドライン」に基づき、会社としてのセキュリティを担保
- 製品セキュリティ
CSMS:Cyber Security Management System - 企画・開発・車両量産・運用保守・廃棄まで全てのプロセスでセキュリティを担保
- PSIRT
- インシデント発生時の調査・解決を担うPSIRT(製品セキュリティインシデント対応チーム)を構築
- 車両SOC
- コネクテッドカーへのサイバー攻撃を素早く検知しPSIRTと連携して対応
- 工場セキュリティ
(OTセキュリティ) - 生産現場(工場)などのOTシステムにおけるセキュリティを担保
- SBOM
Software Bill of Materials - ソフトウェアの脆弱性を管理
自動車産業におけるサイバーセキュリティの全体図(イメージ)
セキュリティ対策の第一歩は、
サイバーセキュリティガイドラインへの対応から
日本自動車工業会(JAMA)と日本自動車部品工業会(JAPIA)の自動車産業サイバーセキュリティガイドラインでは、企業のサイバーセキュリティ対策の実施状況について、チェックシート(153項目)で自己評価ができます。
自動車産業のサプライチェーンに関わる全ての企業は、規模にかかわらず、チェックシートのLv1(最低限実装すべき項目)とLv2(標準的に目指すべき項目)を達成することが求められています。
NTTセキュリティ・ジャパンの調査による分類では、Lv1とLv2の項目のうち、「ルール・運用」に関わる項目が58%、「教育」に関わる項目が19%、「技術的対策」に関わる項目が23%でした。一般的には「技術的対策」に注目しがちですが、Lv1とLv2を達成するためには「ルール・運用」と「教育」についても適切に対応することが大変重要です。
Lv1とLv2の達成を目指すポイント
正確な
現状把握
何ができていないか?を
できるだけ正確に把握します。
リスクベースの
対策
ランサムウェアなどの重大脅威に
対して効果的な対策を、
できることから実施します。
「技術」「ルール・運用」
「教育」 対策のバランス
技術的対策だけに注力することなく、
ルールや運用手順の整備、社員の
セキュリティ教育や訓練を実施します。
サイバーセキュリティガイドラインを活用して、
セキュリティを強化!
NTTセキュリティ・ジャパンはLv1・Lv2達成に向けて3つのSTEPで支援します
自動車産業サイバーセキュリティガイドライン対策パック
STEP
1
現状把握と計画
現状評価を行い、
対策優先順位を決定(ガイドラインのチェックシートにも対応)
STEP
2
ルール整備と教育
セキュリティ管理規定の
整備と教育&
標的型メール訓練
STEP
3
技術的対策強化
サイバー攻撃を
予防・検知するための
対策を実施
自動車産業サイバーセキュリティガイドライン
Lv1・Lv2達成
さらなる対策強化を行いたい場合
セキュリティ対策を継続的に行える体制を構築(オプション)
自動車産業サイバーセキュリティガイドライン
Lv3達成
オプションについてはお問い合わせください
STEP
1
現状把握と計画
お客様の現状を正確に把握し、セキュリティリスクを可視化。
実施すべき対策の優先順位をわかりやすく提示し、対策プランの策定をサポートします。
サイバーセキュリティリスク診断
(サイバーセキュリティリスクの総合評価)
基本
| セキュリティ専門家によるヒアリング | 問診票(約280項目)にご回答ください。問診票をもとに、セキュリティの専門家が3時間×2回、計6時間程度のヒアリングを行います。 |
|---|---|
| ASM(Attack Surface Management)を活用したリスク診断 | ハッカー目線で、インターネットに公開されている情報を調査して脆弱性を把握します。 |
| 報告会 | 自動車産業サイバーセキュリティガイドラインへの適応状況をご報告します。 |
| 対策プランの策定をサポート | 緊急対応・優先課題を明確化し、何から対応すべきかをご提示します。 |
オプション
| 実施計画策定 | 報告書で提示した対策プランに基づいて、予算計画も含め具体的な実施計画を提案します。 |
|---|
サイバーセキュリティリスク診断
4つの特徴
- 専門家による
正確な診断結果が得られる - 「自動車産業サイバーセキュリティガイドライン」のチェックシートに、正確かつ容易に回答できます。
- 対策の優先順位を
把握できる - 「管理系」「デバイス」「ネットワーク」「クラウド」などのカテゴリ別に、緊急課題と優先課題を把握できます。
- 対策プランニングが
できる - 優先順位がわかることで、何の対策から実施すべきか計画を立てられます。
- 対策実施状況の
エビデンスになる - 報告書は、OEMや上位Tierに対して対策実施状況を説明するために利用できます。
STEP
2
ルール整備と教育
セキュリティ強化に欠かせない「セキュリティ管理規定整備」と「セキュリティ教育」について、
専門家の知見に基づくサポートをご提供します。
セキュリティ管理規定整備
基本
| 規定のひな型と解説動画を提供 | お客様の状況に合わせてカスタマイズできる2種類(大企業向け、中小企業向け)のひな型と、どうやって自社に適応させるか解説した動画教材をご提供します。お客様は、動画教材を見ながらひな型をカスタマイズすることで、規定を作成できます。 |
|---|
オプション
| 相談対応(チケット制) | ひな型のカスタマイズに関して、専門家がオンラインでサポートします。 |
|---|
作成できる規定のサンプルをダウンロードしていただけます
ダウンロードはこちら
インシデント対応手順の作成支援
セキュリティ管理規定を整備する上で優先的に実施すべきことは
インシデント対応手順・フローの整備です。
お客様の実情に合わせた対応手順の作成をご支援します。
セキュリティ教育&標的型メール訓練
基本
| セキュリティ教育 | 充実した教育コンテンツをご用意しています。デバイスを問わず、動画講座や確認テストの受講が可能なeラーニング教材です。 |
|---|---|
| 標的型メール訓練 | 豊富なテンプレートとランディングページを活用し、本番さながらの攻撃を疑似体験できる訓練をご提供します。 |
| 効果測定分析 | 教育の受講状況や、標的型メール訓練の結果を数値化して報告します。 |
オプション
| 教育プランニング支援 | 「自動車産業サイバーセキュリティガイドライン」のLv1・Lv2を達成するために要求されている事項に対して、教育受講者(経営者・管理職・システム管理者・営業担当・事務職など)を定義。誰が、どのような教育を、いつ受講すればよいかをご提案します。 |
|---|
STEP
3
技術的対策強化
サイバー攻撃を予防・検知するために必要な技術的対策をご提供します。
推奨
| SOC(Security Operation Center)の簡単導入サービス「SOC in Pocket」 | ハードウェア(セキュリティおまかせBOXTM)を設置するだけでサイバー脅威を検知し、推奨される対応を通知します。  |
|---|
サービスの詳しいご紹介はこちらから
SOC in Pocketのサイトへ個別お見積
| ゲートウェイセキュリティ | 外部ネットワークと社内ネットワークの境界で不正通信をブロックします。 |
|---|---|
| エンドポイントセキュリティ | 端末をサイバー攻撃から守るため、複数のソリューションを組み合わせて対策を実施します。 |
| メールセキュリティ | スパムメールの自動遮断や、添付ファイルの暗号化などを行います。 |
| ランサムバックアップ | 定期的にバックアップを取得し、万が一ランサムウェアの被害を受けた場合でも早急に復旧できるように備えます。 |
| 内部脆弱性診断 | 各種機器の設定状態を確認し、脆弱性を診断します。 |
STEP2、STEP3と併せて、
さらなる対策強化を行いたい場合
「自動車産業サイバーセキュリティガイドライン」のLv3達成を目指すお客様のために、
さらなる対策のご提案も可能です。
個別お見積
| OTセキュリティ(工場セキュリティ) | 工場セキュリティガイドラインの遵守を支援します。 |
|---|---|
| 情報システム部支援・業務代行 | サーバー・ネットワークの運用・監視、構成管理、障害・トラブル対応などを支援、代行します。 |
| CSIRT代行 | インシデント発生時の対応を行うCSIRTの業務を代行します。 |
| セキュリティ教育代行 | STEP2のセキュリティ教育プログラムを毎年更新し、継続してご支援します。 |
| SOC高度化 | 専門のアナリストが脅威の解析と判断を行い、インシデントへの遠隔対応などを含め手厚くサポートします。 |
OTセキュリティ対策に向けてご提供しているサービスをご紹介しています
OTセキュリティのサイトへLv3達成を目指す場合はご相談ください
お問い合わせまとめ
一般的なガイドライン対策ソリューションは、課題ごとに用意されているものが主流であるため、「自社のセキュリティにどのような課題があるか」、「どういった対策を実施するべきか」をお客様ご自身で判断しなくてはなりません。
NTTセキュリティ・ジャパンは、「正確な現状把握が適切な対策(カイゼン)に繋がる」をモットーに、専門家によるサイバーセキュリティリスク診断から、具体的なソリューションまで含む「自動車産業サイバーセキュリティガイドライン対策パック」をご提供します。「何から手をつけていいのかわからない」というお客様から、より高度な対策強化を求めるお客様まで利用しやすいのが特徴です。お客様のご予算や事業状況を踏まえた最適な進め方をご提案しますので、まずはお気軽にお問い合わせください。
お気軽にお問い合わせください
お問い合わせNTTセキュリティ・ジャパンだからできること
20年にわたり、
幅広い業種のお客様を支援しています2003年のセキュリティオペレーションセンター創設以来自動車や化学、重要インフラなどさまざまな業種のお客様に伴走し、OTセキュリティの課題解決を支援してきた実績があります。
状況や課題に応じて、最適なセキュリティ対策を提供します
コンサルティングから先進技術ソリューション、マネージドセキュリティサービス(MSS)までワンストップで提供しています。手軽に導入できるツールから、専門家による高度なマネジメントまで幅広いセキュリティ対策のご提案が可能です。
NTTグループのセキュリティ分野を担う専門組織です
NTTグループの研究所が開発した最先端技術を現場で実用化してきた経験を踏まえ、セキュリティの専門家が、OT環境特有の課題に的確に対応します。OTセキュリティとITセキュリティの両領域に精通しているため、相互の環境に与える影響を考慮した対策をご提案します。
お気軽にお問い合わせください
お問い合わせ