UN-R155とCSMSの全体像、及びCSMS構築・運用のポイント

UN-R155に関する法規概要、UN-R155で求められるCSMS、及びCSMS構築、運用におけるポイントについて解説します。

要点

• UN-R155は、自動車のサイバーセキュリティを義務付ける国連規則で、自動車業界にCSMSの導入を要求している。
• UN-R155の審査は、CSMSの有効性を確認するプロセス審査と、車両に適用された対策を確認する型式認証審査の2種類で、対象範囲や目的が異なる。
• CSMSは、自動車のライフサイクル全体でサイバーセキュリティを計画・実施・監視・改善する管理の仕組みで、ISO/SAE 21434に準拠して構築することが重要である。

1. UN-R155の概要

UN-R155とは、正式名称は「Uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system」で、自動車のサイバーセキュリティに関する国連の国際法規です。

車両のサイバー攻撃リスクを低減し、安全性を確保するため、製造企業にサイバーセキュリティ体制とプロセスを義務付けることを目的に、国連欧州経済委員会（UNECE）のWP29（自動車基準調和世界フォーラム）で策定されました。

日本では、UN-R155の要求を道路運送車両法の第3章の規定に基づく保安基準の一つとして取り込んでいます。そして「自動車の型式認証制度」によって保安基準の審査が行われており、UN-R155の要求に従ったサイバーセキュリティ対策ができていないと、保安基準違反として、車両の出荷や販売に制限が生じる可能性があります。UN-R155による法規制は以下の4段階に分けて適用が開始されています。

1. 2022年7月以降に発売されるOTA対応の新型車に対する法規制を開始
2. 2024年1月以降に発売されるOTA非対応の新型車に対する法規制を開始
3. 2024年7月以降に発売されるOTA対応の継続生産車に対する法規制を開始
4. 2026年5月以降に発売されるOTA非対応の継続生産車に対する法規制を開始

2. UN-R155に従って実施される2つの審査

このUN-R155のサイバーセキュリティに関する審査として「プロセス審査」と「型式認証審査」の2つがあります。

プロセス審査は、自動車メーカーのCSMS（Cyber Security Management System）の有効性を審査する仕組みです。一方で、型式認証審査では、対象の車両に対してCSMSが適用されたエビデンスがあるか、また、車両に施されたサイバーセキュリティ対策が有効であるかを審査します。

プロセス審査と型式認証審査では審査対象範囲が異なります。プロセス審査は、型式認証の対象となるシステムが企画されてから廃棄に至るまでの管理プロセスが対象となります。この対象には型式認証の対象車両と通信するバックエンドサーバーの管理プロセスも含まれます。すなわち、車両ライフサイクル全体でサイバーセキュリティを確保できる能力を確認します。一方で型式認証審査は、車両に搭載される電気／電子システムが対象となります。車両の制御を行う各種ECUや、カメラ、センサーなどの入力装置、通信機器などが挙げられます。

3. CSMSの概要

CSMSとは、組織が製品やサービスに関するサイバーセキュリティを、ライフサイクル全体で計画・実施・監視・改善するための管理の仕組みです。

よく似た言葉にISMS（Information Security Management System)があります。ともにPDCA（Plan-Do-Check-Act）サイクルを基盤とした継続的改善を重視した仕組みであることが共通項として挙げられます。

一方で、ISMSが主に情報システムを対象としているのに対し、CSMSは主に自動車を含む制御システムを対象としています。

ISMSを構築するための要求事項は、国際標準規格である「ISO/IEC 27001」に定められていますが、UN-R155への適合に必要となる自動車向けCSMSを構築するための要求事項は、「ISO/SAE 21434」に定められています。そのため、UN-R155に適合するためには、「ISO/SAE 21434」に準拠したCSMSの構築が必要になります。

4. UN-R155が要求するCSMS

UN-R155の「7.2 Requirements for the Cyber Security Management System」を中心に、CSMSとして構築すべきプロセスが定義されています。車両コンセプトの策定から車両の開発、車両の生産、そして車両の市場投入から運用に至るまでのライフサイクル全体を通じたサイバーセキュリティマネジメントシステムを行うためのプロセスを構築することが要求されています。以下UN-R155プロセス審査におけるCSMSの要求項目を示します。

5. CSMS構築、運用のポイント

UN-R155は、「何をすべきか」を定める法規であり、ISO/SAE 21434は、「どうやって実現するか」を示す技術標準になります。両者は車両のライフサイクル全体にわたるサイバーセキュリティを確保するための補完関係にあり、ISO/SAE 21434に準拠したCSMSを構築することで、UN-R155に対応することができます。

そのため、ISO/SAE 21434で定める「サイバーセキュリティに対応した組織及びマネジメントシステムの構築」、「製品のサイバーセキュリティコンセプトの策定」、「サイバーセキュリティを考慮した製品の設計／実装／評価に関する要求事項」、「製品の生産／運用／廃棄におけるサイバーセキュリティ活動」といった、製品ライフサイクル全体にわたったサイバーセキュリティ対策の内容を理解することが重要となります。

また、ISO/SAE 21434では、CSMSを構築した組織に対して、内部監査等の確認活動を通じて、サイバーセキュリティに対応した組織及びマネジメントシステムが正しく機能していることを確認することが求められています。UN-R155のプロセス審査も通常3年ごとに再審査、証明が必要とされており、CSMSが継続して適切に設計、運用されていることを担保するためには、実効性のある監査が不可欠となります。

プロセス審査においては、拡張申請も認められています。拡張申請とは、UN‑R155に基づき既に承認されたCSMSを前提として、その適用範囲（拠点、組織等）を拡大する際に行われる申請を指します。この場合、CSMSの基本構造を維持したまま、追加対象となる拠点・組織が既存のCSMSの下で一貫した運用を行っていることを示すことが求められます。

特に、海外拠点など本社組織から地理的・組織的に離れた拠点が対象となる場合には、CSMSがルールとして定められているだけでなく、実際の業務の中で継続的に運用されているかを確認することが重要となります。そのため、各拠点が同一のCSMSを継続的に運用しているかを適切に監視し、その実効性を客観的に確認・担保する監査が重要な役割を果たします。

EYでは、UN-R155に適合したCSMS構築支援のみならず、CSMSの実効性を担保する内部監査の支援まで、企業のさまざまなご要望に応じたサービス、ソリューションを用意しています。

【共同執筆者】

根岸 和也
EY新日本有限責任監査法人　Technology Risk事業部　アソシエートパートナー

植木 貴弘
EY新日本有限責任監査法人　Technology Risk事業部　シニアマネージャー