By Ling Cheng (Senior Product Marketing Manager)
世界の運輸業界は、政府の政策によって電気自動車(EV)への移行が加速し、大きな転換期を迎えています。EUや米国などの地域や国では、排ガス規制がますます厳しくなっています。一方、台湾は2030年までにすべての都市バスと政府車両を完全電動化するという目標を掲げています。こうした政策の動きは、世界中でEV車両の急速な普及に拍車をかけています。
ガートナー社(Gartner®)のレポート“Market Guide for Commercial Vehicle Fleet Management,”(「商用車フリート管理のマーケットガイド」)によると、『2030年までに、バッテリーEVトラックは180万台、バッテリーEVバンは850万台が世界で稼働し、2025年のそれぞれ49万台、240万台から増加する』*とされています。
この動きに対応しようと、あなたの会社でも既にビッグデータやAIに投資して、車両の運行効率を最適化しようと取り組まれているかもしれません。しかし、重大な疑問が残ります―それは、サイバーセキュリティの侵害がひとつでもあれば、一瞬にしてすべての努力が水の泡になりかねないということです。
サイバーセキュリティは単なるリスク管理ではない
サイバーセキュリティは、リスク管理の基盤であるだけでなく、資産活用の重要な推進力となります。以下の項では、サイバーセキュリティがEVフリートのパフォーマンスと回復力(レジリエンス)にどれほど深く影響するかを説明するために、4つの主要なリスクについて探ります。
業務妨害リスク:フェイク・コマンドによる指揮系統の混乱
想像してみてください…。攻撃者が偽の指令を出し、不正な指令によって車両を誤った目的地にリルートした場合です。その結果は?燃料消費量の増加、配送の遅延、顧客からのクレーム、車両のダウンタイムの増加など、業務効率と稼働率の低下を招きます。
単なる仮定の話とは言っていられない現状があります。2022年、攻撃者はロシアの人気タクシーアプリのAPIの脆弱性を悪用し、偽の注文で数十台の車両を同じ場所に送り込み、モスクワで深刻な交通渋滞を引き起こしました。また、2024年には、ある自動車メーカーのシステムのソフトウェアの脆弱性により、80万台のEVのリアルタイムの位置情報が流出し、悪意のある行為者が貨物を盗んだり、競合他社の配送ルートを解読したりできる可能性がありました。
サイバーセキュリティの不備は、単に業務を中断させるだけでなく、フリート・エコシステム全体の信頼性を損なってしまうのです。
コンプライアンスリスク:データ改ざんが判断ミスや罰金につながる可能性
規制により、運送会社には走行データを監視するための電子記録装置(ELD)の設置が義務付けられていますが、ELDは攻撃者の標的になる可能性があります。ELDや車載モニターカメラの脆弱性を悪用することで、悪意ある行為者は走行距離や排ガス情報、その他の重要な指標を改ざんするマルウェアを埋め込むことができます。このように操作されたデータは、運送会社や管理者が提出するコンプライアンス報告書に反映され、規制当局から罰金を科される危険性があるほか、メンテナンスの決定を誤らせたり、コストをつり上げたり、労働力の最適化を阻害したりする可能性があります。
フリート管理システムは通常、点検漏れやドライバーの超過勤務などの問題に警告を発し、コンプライアンスと業務効率をサポートします。しかし、データが改ざんされると、このようなセーフガードは機能しなくなります。VicOneの自動車脅威情報によると、ECUデータの改ざんサービスはダークウェブで入手可能であり、安価かつ迅速で、潜在的な不正行為者が容易にアクセスできます。こうしたサービスを利用すれば、ECUを改造してELDに不正なデータを送信することが可能になります。このようなサービスを悪用する内部関係者が1人でもいれば、労働時間を水増ししたり、ログを操作したりすることで、車両のコンプライアンスと業務が危険にさらされる可能性があります。
個人情報漏えいリスク:サプライチェーン統合がデータ漏えいの引き金となってしまう危険性
最新の車両管理システムは、サードパーティのサービスを統合してオペレーションを合理化することがよくあります。車両のメンテナンス、事故報告、消耗品の調達はすべて、ドライバーやメンテナンスチームに自動的に配信されるため、異なるシステムから手動で情報を収集する必要がなくなります。これは効率性を高める一方で、サイバーセキュリティのリスクを拡大します。各統合ポイントは、機密性の高い車両データにアクセスしようとする攻撃者の潜在的な侵入口となります。
例えば、2022年後半には、セキュリティリサーチャーが北米の車両で広く使用されているコネクテッドサービスプロバイダーのAPIの脆弱性を発見しました。この欠陥は数百万台の車両に影響を及ぼし、攻撃者は認証されていないAPIエンドポイントを悪用して車両データにアクセスしたり、ドアのロック解除や位置追跡などの機能を遠隔操作したりすることができる危険性があるものでした。
仮に自社の運送車両が同様のサードパーティサービスに依存していた場合には、位置情報や経路データに関わる侵害は貨物の安全性を脅かし、最悪の場合、競合他社に貴社の業務内容が知られてしまい、競争力を低下させる可能性があります。
資産活用のリスク:車両盗難が経営に与える影響
車両は配送業務に欠かせないものです。しかし、サイバー攻撃は一瞬にして車両を制御不能にし、利用可能な資産を減らしてオペレーションを停滞させる可能性があります。複数の車両が盗まれたり、遠隔操作で乗っ取られたりすることを想像してみてください。配送は滞り、業務効率は低下し、顧客の信頼は損なわれます。
2023年、CANインジェクションの技法が報告され、最低限の技術的専門知識さえあれば、窃盗犯がキーなしで、時にはわずか15秒で車を盗むことが可能であることが判明しました。2024年のPwn2Own Vancouverでは、リサーチャーが車両機能の遠隔操作を可能にする脆弱性を暴露し、物理的なアクセスなしに車両の盗難が可能であることを証明しました。
車両がこのような攻撃を受けた場合、その影響は車両の損失だけにとどまりません。交換費用や保険料が高騰する可能性がある一方で、残存する資産がダウンタイムのために遊休状態になり、業務能力や顧客の信頼に深刻な影響を与える可能性があります。
最初からサイバーセキュリティ対策を:最良の長期投資
車両の寿命は通常12~15年で、車両資産は長期的な業務の柱となります。しかし、その同じ期間に、脅威の状況は急速に進化していきます。VicOneの自動車関連の脅威情報によると、ますます巧妙になる攻撃手法により、車両関連のサイバー攻撃は過去4年間で600%も急増していることが示されています。
長期にわたって車両を保護するには?車両のライフサイクルの途中で対策の度に車両を入れ替えることは現実的な選択肢ではありません。だからこそ、サイバーセキュリティは、テクノロジー、人材、管理にわたって、最初からフリート戦略に組み込まれていなければなりません。
ここでは、EVフリートの信頼性と効率性を長期にわたって支えるサイバーセキュリティの強固な基盤を確立するための主な推奨事項を紹介します。
資産活用の強化
- 実績のあるサイバーセキュリティのパートナーを選ぶこと:ISO/SAE 21434 や UN-R155 などの規格や規制に準拠している実績のあるサプライヤーを優先します。これらのパートナーは、車両のライフサイクルを通じて継続的なリスク管理と脅威の監視をサポートできなくてはなりません。
いすゞグループの一員であり、世界60か国以上で輸送ソリューションを提供する日本の商用車メーカー、UDトラックスは、次世代車両セキュリティオペレーションセンター(VSOC)プラットフォームを採用しました。この先進的なシステムは、コンテクスト化されたセキュリティリスクに関する分析を活用して新たな脅威を早期に特定し、UN-R155などの規格や規制へのコンプライアンスを強化し、脅威情報を製品開発ライフサイクルにシームレスに統合することで継続的な品質改善を推進します。
- 実行時保護(ランタイム保護)の導入:侵入検知・防御システム(IDS/IPS)などのオンボードのサイバーセキュリティ機能を車両に搭載し、脅威をリアルタイムで検知・対応できるようにします。
世界初のオープンソース自律走行ソフトウェア・プラットフォームを提供するTier IVは、オンボードIDS/IPSを統合し、自律走行システムをランタイムの脅威から保護しています。
- OTA アップデートの有効化:脆弱性に迅速に対処し、新たな脅威にさらされる可能性を低減するために、定期的で安全かつユーザーフレンドリーなOTA(Over-the-Air)パッチを提供できるサプライヤーと連携することが推奨されます。
フリートセキュリティの強化
- 継続的な監視:車両、充電ステーション、インフラからリアルタイムでデータを収集し、異常を早期に検知して脅威を未然に軽減します。
- 脅威情報の活用:ダークウェブの活動を追跡し、発見した情報をサプライヤーの脆弱性と関連付けて、実用的なセキュリティ対策を導き出します。
- スタッフの教育:運転手、技術者、管理者を対象に、フィッシング詐欺、不審なコマンド、不正使用の兆候を見分ける方法など、ヒューマンエラーを最小限に抑えるためのサイバーセキュリティのベストプラクティスについて教育します。
安全なエコシステムの構築
- エンドツーエンドの暗号化:すべての車両通信、データストレージ、APIに強力な暗号化を適用して、不正アクセスを防止し、中間者攻撃(MITM)を防御します。
- サイバーセキュリティ管理の制度化:サイバーセキュリティ専任のリーダーまたはチームを任命し、定期的なレビューを監督し、部門間の調整を行い、迅速な復旧とダウンタイムの最小化のための緊急時対応計画を管理します。
- 規制の推進:業界団体や政府機関と連携し、EVフリートシステムやインフラに強固なセキュリティを義務付ける基準や規制の強化を提唱します。
サイバーセキュリティは単なる技術的な問題ではなく、事業継続性、運用パフォーマンス、長期的な成功のバックボーンです。サイバーセキュリティは、車両の走行、データの信頼性、資産の保護を維持します。サイバーセキュリティを当初からEVフリート戦略に組み込むことで、コネクテッド化が進み競争が激化する中で、安全かつ効率的な運用が可能になります。
サイバー攻撃によってEV車両が危険にさらされてから対策を講じるのではなく、今すぐ積極的な対策を講じましょう。
*Gartner, Market Guide for Commercial Vehicle Fleet Management, Jonathan Davenport and Shivani Palepu, 10 March 2025. (For Gartner Subscribers only) GARTNERは、米国およびその他の国におけるGartner, Inc.および/またはその関連会社の登録商標およびサービスマークであり、許可を得て使用しています。無断複写・転載を禁じます。
