ISO 21434 道路車両－サイバーセキュリティエンジニアリング

ISO 21434:2021は、ISO（国際標準化機構）とSAE（国際自動車技術会）が共同で策定した「道路車両－サイバーセキュリティエンジニアリング」に関する国際規格です。コネクテッドカーのサイバー脅威増大に対応する目的で開発されました。本規格は、車両の構想から廃棄に至る全ライフサイクルにわたるサイバーセキュリティマネジメントシステム（CSMS）のフレームワークを定義します。リスク管理体系において、本規格は「脅威分析及びリスクアセスメント（TARA）」の実施を義務付け、脅威を体系的に特定・評価・対策するための核心的な指針となります。一般的な情報セキュリティ規格ISO/IEC 27001と異なり、自動車特有の長い製品寿命や機能安全（ISO 26262）との連携に特化しています。国連規則UN R155への準拠に不可欠であり、多くの国で型式認証の前提条件となっています。

企業がISO 21434をリスク管理に適用するには、主に以下の3つのステップを踏みます。 1. **組織レベルのCSMS構築**：規格の第5章・第6章に基づき、サイバーセキュリティ方針、ガバナンス体制、プロセスを確立し、責任と権限を明確にします。 2. **脅威分析及びリスクアセスメント（TARA）の実施**：第15章に従い、製品開発の初期段階でTARAを実施します。例えば、車載インフォテインメントシステムのBluetooth接続に対するリモートハイジャックの脅威を分析し、その影響と攻撃の実現可能性からリスクレベルを決定し、セキュリティ目標を定義します。 3. **開発プロセスへのセキュリティ統合**：TARAで導出されたセキュリティ目標を、Automotive SPICE（ASPICE）などの既存の開発プロセスに統合します。ある大手部品メーカーはこの手法により、UN R155監査の初回合格率95%を達成し、市場投入後のセキュリティパッチ適用件数を30%削減しました。

台湾の自動車部品サプライヤーがISO 21434を導入する際には、主に3つの課題に直面します。 1. **専門人材の不足**：自動車工学とサイバーセキュリティ双方の知見を持つ人材、特にTARA手法の専門家が不足しています。 2. **サプライチェーン連携の複雑さ**：複数のOEMと取引する中で、各社の要求仕様が異なり、サイバーセキュリティインターフェース合意書を通じた責任分界点の調整が困難です。 3. **リソースの制約**：中小企業にとって、専門チームの設置、侵入テストツールの導入、第三者認証の取得は大きなコスト負担となります。 対策として、専門コンサルタントとの連携による知見補完、インターフェース合意書の標準化による効率化、そしてパイロットプロジェクトから始める段階的導入とクラウドサービスの活用によるコスト抑制が有効です。優先事項は、3ヶ月以内に組織レベルのCSMSの枠組みを構築することです。

積穗科研は台湾企業のISO 21434に特化し、100社以上の支援実績を持ち、90日以内に国際標準の管理体制構築を支援します。無料診断申込：https://winners.com.tw/contact