誰が担うのか？ ISO/SAE 21434やUN-R155で迫られるサプライチェーン全体での協調

1周目が終わろうとしている「自動車サイバーセキュリティ」規制

　ここまで述べてきた通り、自動車サイバーセキュリティにまつわる各種規定は、2021年から定められはじめ、既に4年が経とうとしている。日本においては、2024年1月から新型の自動車はすべてUN-R155に準拠しており、2026年5月までに継続生産車のすべてが適用対象となる予定だ。つまり、本稿で言及してきたことは“これから取り組むべき”ことではなく、“既に取り組まれている”ことである。いかにCSMSの仕組みを導入するか、リスク管理を行うか、インシデント対応体制を整えるか、ということを議論し、実装する……むしろ数年経った今では、フィードバックを基に再考する段階にきている。先述した内容は、氷山の一角に過ぎず、関係者各位は非常に多くの障壁や苦労があったのではないかと察するが、あえてこれは「幸運」な状況だとお伝えしたい。

　冒頭に言及した、SDVが表現されるアクション映画で頻出する表現のもう一つに、車両システムをクラッキングして（車両の）コントロールを乗っ取るというものがある。現実には、そこまで大規模な自動車に関するサイバーセキュリティインシデントはほとんど起きていないが（なぜ起きていないのかは連載第2回で言及している）、重要なことは普及よりも先に規制が成立し、機能しはじめている点である。

　自動車が登場してから免許制などの法整備には、数年から20年ほどを要した。同様にSNSや生成AIなど、人の手に余る技術がルール整備よりも先に浸透し、混乱を招いた例は思い当たる節があるだろう。（自動車セキュリティ関連法規対応などは）自動車本来の技術発展に寄与するものではなく、予算を割いても直接売上につながるわけではないが、先んじてルールが整備されている自動車業界の状況は「幸運」であり、今後の業界発展にもポジティブに作用するものであると信じたい。

　法規対応のためにサイバーセキュリティ対策を行うのではなく、その先にあるモビリティを利用する人命のために対策を行うという原点に立ちかえり、サプライチェーン一丸となって取り組みたい。