イマドキの新常識“コネクテッドカー”に潜む恐ろしいリスク…「車のサイバーセキュリティ」ほとんどのユーザーが無頓着？

自動車サイバーセキュリティ法規「UN-R155」とは？

コネクテッドカーをハッキングして遠隔操作することは可能。とはいえ、このリスクへの対策が何も行われていないわけではないようです。

たとえば、UNECE（国連欧州経済委員会）では、自動車サイバーセキュリティ法規「UN-R155」を2021年に発効し、段階的に適用するようにUNECE加盟国に義務付けています。

ざっくりいうと、UN-R155はサイバー攻撃に強い車だけを市場に流通させるための法規制です。日本では道路運送車両法にUN-R155を取り入れており、UNECEの定めたスケジュールに従って対応を進めています。

2024年6月現在では、OTA（無線ネットワーク通信）対応か非対応かを問わず、全ての新型車がUN-R155の規制対象となっています。また、2026年5月には全ての継続生産車が規制対象となる予定です（OTA対応の継続生産車は2024年7月1日に規制対象化）。

サイバー攻撃への安全性を担保するCSMS

UN-R155では、自動車のサイバーセキュリティおよび、サイバーセキュリティマネジメントシステム（CSMS）の標準を定めています。CSMSとは、サイバーセキュリティを管理し、車のライフサイクル全体で安全性を担保するための仕組みです。

UNECE加盟国でUN-R155対象車を流通させるには、まず国際標準規格に準拠するCSMSを構築し、プロセス審査に合格しなければなりません。

そのうえでCSMSに従い車を開発して、車両型式審査に合格することにより、当該モデルは生産に必要な型式認証を受けられます。また、認証された車はCSMSに基づき継続的にセキュリティチェックされるため、サイバー攻撃に対する安全性が保たれます。

……と、こうして概要を見ると、UN-R155は念入りに考えられた法規制といえそう。ただ、実際はメーカー任せになっている部分もあるようです。

具体的な判断基準はメーカーが決める

UN-R155では、自動車サイバーセキュリティの大まかな方針を定めていますが、具体的な基準づくりはメーカーに委ねられています。たとえば、車が受けるリスクの評価と対策を決める「リスクアセスメント」の基準は、自動車メーカーが策定しなければなりません。

また、車両型式審査ではリスクアセスメントも審査されるわけですが、その際はUN-R155に準拠していることをメーカーが論証しなければならないのだとか。……これって、審査する側とされる側どちらも大変そうですね。

ところで、そもそものUN-R155の方針が大まかなのに、メーカーが考案した判断基準に対する合否って明確に判定できるのでしょうか？ちょっと気になるところですが、消費者としては「厳しくも適正な審査が行われているんだろうな」と思うしかありません。

次ページ…　自動車メーカーに求められる信頼性とは

「パンクしてますよ！」教えてもガン無視…親切心が無駄になったロードトラブル集