誰が担うのか？ ISO/SAE 21434やUN-R155で迫られるサプライチェーン全体での協調

「誰が対応を担当するのか」規格適合に向けた課題とは

　法規が整備されているのであれば、現場は対応するしか選択肢はない。しかし、そこには無数の障壁が存在する。

　たとえば、「誰が対応を担当するのか」という点だ。これまでインターネットに接続することのなかった各種車載システム開発現場に、サイバーセキュリティのナレッジは望むべくもない。一方で、一般的に企業内でサイバーセキュリティを管轄する情報システム部門に相当する部門は、開発現場の事情を深く知ることは少ない。結果として、現場側でサイバーセキュリティの取り組みも請け負うケースが多いように見受けられるが、いずれの場合でも途方もない量の勉強と対応業務が増えてしまう。

　また、「誰」というのは、自動車業界というピラミッドにも例えられる巨大なサプライチェーン全体において、「サイバーセキュリティをどのように担保するか」という視点でも同じことがいえる。その他にも、単純な業務量増加による影響や、（対応における）優先順位の振り分けのようなマネジメント的な課題など、非常に多くの課題が存在する。

　これらの解決には自動車メーカーやサプライヤー、コンサルティング、SIer、ITベンダーなど、すべてのステークホルダーが先述した自動車業界に課せられた責務を正しく理解し、協力していく必要がある。連載第1回で紹介した通り、SDVが自動車業界サプライチェーンに与える影響は非常に大きい。

　DevSecOpsのような手法を用いて（開発プロセスにセキュリティ組み込むことで）法規対応と円滑な開発を両立することはもちろん、リスクアセスメントやペネトレーションテストによるリスクマネジメントの実施、人員体制構築とツール活用の両方をバランスよく実現するためのインシデント対応体制の整備……数点挙げただけだが、いずれも担当部門や1社だけで実現することは難しい内容だ。

　では、どのように対応すべきか。その具体的な対策やアプローチは、来月公開予定の本連載最終回を参照いただきたい。