国連規則第155号（サイバーセキュリティ及びサイバーセキュリティ管理システム）

UNR 155は、国連欧州経済委員会（UNECE）の自動車基準調和世界フォーラム（WP.29）が発行した、サイバーセキュリティ及びサイバーセキュリティ管理システムに関する車両の承認の統一要件を定めた強制法規です。その中核的な要求事項は、自動車メーカーが認証された「サイバーセキュリティ管理システム（CSMS）」を構築・導入・維持し、開発から生産、生産後の段階に至るまで、車両のライフサイクル全体にわたるサイバーリスクを体系的に管理することです。これは単一の技術や部品に対する基準ではなく、プロセス指向の管理体制を求めるものです。実務上、業界ではISO/SAE 21434「路上走行車－サイバーセキュリティエンジニアリング」がUNR 155準拠を達成するための主要な方法論として広く採用されています。

企業がUNR 155を導入するには、全体的なリスク管理フレームワークに統合する必要があり、具体的な手順は以下の通りです。 1. **CSMSガバナンスの確立**：ISO/SAE 21434に基づき、全社的なサイバーセキュリティ方針、組織構造、役割と責任を定義し、経営層のコミットメントを確保します。 2. **脅威分析とリスクアセスメント（TARA）の実施**：車両のE/Eアーキテクチャに対し、資産の特定、脅威の分析、攻撃経路の評価、リスクレベルの定量化を体系的に行い、対策の優先順位を決定します。 3. **セキュア開発ライフサイクルの統合**：「セキュリティ・バイ・デザイン」の原則を製品開発プロセス（例：V字モデル）に組み込み、各段階でサイバーセキュリティ活動を確実に実施します。 4. **サプライチェーンセキュリティの確保**：契約や監査を通じて、サプライヤーにもセキュリティ要件を拡大します。あるグローバルTier1サプライヤーは、CSMS導入後、OEM監査の合格率100%を達成し、脆弱性に起因する開発手戻りを20%削減しました。

台湾企業は自動車サプライチェーンの部品サプライヤーであることが多く、UNR 155導入時に主に3つの課題に直面します。 1. **複雑なサプライチェーン管理**：OEMの要求を満たしつつ、自社のサプライヤーのセキュリティレベルも管理する必要がありますが、直接的な強制力がありません。**対策**：サプライヤー向けのセキュリティ評価基準を設け、調達契約にサイバーセキュリティ協定（Cybersecurity Agreement）を盛り込み、ISO/SAE 21434準拠の証明を求めます。 2. **専門人材の不足**：自動車工学、ソフトウェア、サイバーセキュリティの複合的な専門知識を持つ人材が不足しています。**対策**：部門横断的なタスクフォースを設置し、外部の専門家によるコンサルティングや研修を活用して、6ヶ月以内に中核チームの能力を構築します。 3. **組織文化の変革への抵抗**：従来のハードウェア中心の製造文化から、ソフトウェアとライフサイクル管理を重視する文化への転換が困難です。**対策**：経営層の支援を得てサイバーセキュリティを戦略的優先事項とし、明確なKPIを設定して業績評価と連動させることで、トップダウンで文化変革を推進します。

積穗科研は台湾企業のUNR 155に特化し、100社以上の支援実績を持ち、90日以内に国際標準の管理体制構築を支援します。無料診断申込：https://winners.com.tw/contact