人間ベースの予防

Human-based Prevention（人為防護）とは、利害関係人の行動、認知、意思決定プロセスに働きかけることでリスクを低減する戦略です。これは犯罪學の犯罪予防理論に基づいています。自動車サイバーセキュリティにおいては、車両の設計、製造、運用、廃棄の各フェーズに関わるすべての利害関係者（ドライバー、整備士、開発者、サプライヤー）を対象とします。ISO/SAE 21434第15章では、脅威分析およびリスク評価（TARA）において、人為的な要因を考慮することが求められています。技術的なセキュリティ対策（暗號化、IDS等）を補完する概念であり、人間をシステムの一部として捉える「Socio-technical System」の考え方が根底にあります。臺灣の個人資料保護法第20條やGDPR第32條が求める「適切な技術的・組織的措置」にも直接関わる重要な概念です。

実務導入は3つのステップで行われます。第一ステップは「利害関係者行動モデル」の構築です。各ステークホルダーの行動パターン、権限、潛在的な誤用シナリオを特定します。第二ステップは「設計パターンへの統合」です。例えば、OTA（Over-the-Air）アップデート時に、開発者以外のアクセスを物理的・論理的に制限する設計パターンを導入します。第三ステップは「継続的なモニタリング」です。車両からのテレメトリデータを分析し、不自然な操作パターンを検知する仕組みを構築します。実例として、あるTier 1サプライヤーは、整備士向け診斷ツールのアクセス制御に多要素認証を導入したことで、人為的な設定ミスによる情報漏洩リスクを年間60%削減しました。これにより、TISAX認証の維持にも大きく貢獻しています。

臺灣企業がHuman-based Preventionを導入する際、以下の3つの課題に直面します。第一に「技術偏重の文化」です。多くのエンジニアはコードやハードウェアの脆弱性のみを重視し、人為的要因を過小評価する傾向があります。これに対し、ISO/SAE 21434のTARAプロセスに人為的シナリオを強制的に組み込む運用ルールが必要です。第二に「法規制への対応遅れ」です。UNECE WP.29 R155/R156の導入により、人為的要因の管理は法的義務となりつつあります。第三に「導入コストの不透明性」です。Human-based Preventionは初期設計コストを押し上げるため、ROI（投資対効果）の提示が不可欠です。解決策として、まずは高リスクなシナリオ（例：遠隔診斷アクセス）に絞って導入し、効果を検証してから全社展開する段階的アプローチを推奨します。

積穗科研股份有限公司（Winners Consulting Services Co., Ltd.）專注臺灣企業Human-based Prevention相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家臺灣企業。申請免費機制診斷：https://winners.com.tw/contact