電気自動車の充電インフラセキュリティにおけるNIST IR 8473の影響を探る

2024年4月8日
VicOne
電気自動車の充電インフラセキュリティにおけるNIST IR 8473の影響を探る

By Ling Cheng (Senior Product Marketing Manager)

電気自動車(EV)の普及には、ガソリン車にとってのガソリンスタンドのように、EVの充電ステーションが不可欠です。世界中の国々は、充電ステーションを広く利用できるようにするために、その設置に関して野心的な目標を設定しています。例えば、EUの国々は2030年までに公共の充電ポイントを300万か所設置することを目指しており、米国も同じ年までに少なくとも50万か所の公共充電器の設置を目標としています。

VicOneの調査によると、2022年下半期から2023年上半期にかけて、自動車関連のセキュリティ事例のうち、充電関連のものが8%を占めていました。充電システムは、接続されたデバイスとして、サービスクラウドだけでなく、電力網やEV、サードパーティのサービスプロバイダーといった重要なインフラにも接続されています。これらが侵入被害に遭った場合、大きな経済的損失、サービスの中断、情報漏えいなどにつながる可能性があります。さらに、悪質な攻撃によって電力網が侵入被害に遭い、大規模な停電を引き起こす可能性もあります。こうした安全性への懸念から、英国政府は最近、EVスマート充電規制に違反したあるメーカーの充電機器の販売を制限しました。

英国EVスマート充電規制ETSI EN 303 645NIST IR 8259ISA/IEC 62443など、いくつかの国では電気自動車の充電システム (EVSE) のサイバーセキュリティ基準や規制が制定されています。これらの基準や規制は主に、モノのインターネット (IoT) や情報通信技術 (ICT) の文脈において、接続されたEV充電ポイントのセキュリティを確保することに重点を置いています。

しかし、2023年10月に公表された米国国立標準技術研究所 (NIST: US National Institute of Standards and Technology) の内部レポート 「NIST IR 8473」では、対象範囲元気個々の充電器から充電インフラ全体へ拡大しています。レポートのタイトルである「Cybersecurity Framework Profile for Electric Vehicle Extreme Fast Charging Infrastructure(電気自動車の超高速充電インフラのためのサイバーセキュリティフレームワークプロファイル)」に示されるこの拡大された範囲は、EVSE製造業者と充電ポイント運営者 (CPO) が、個々のIoTデバイスだけに注目するのではなく、業界レベルのリスクベースのアプローチでサイバーセキュリティを考える必要があることを示唆しています。

Figure 1. EV extreme fast charging (XFC) ecosystem domains and profile scope Image adapted from NIST IR 8473

図1:電気自動車の超高速充電 (XFC) エコシステムのドメインとプロファイルの範囲
出典:「NIST IR 8473」から画像を作成

NIST IR 8473とは何か?

NIST IR 8473は、「Cybersecurity Framework Profile for Electric Vehicle Extreme Fast Charging Infrastructure(電気自動車の超高速充電インフラのためのサイバーセキュリティフレームワークプロファイル)」とも呼ばれ、「電気自動車の超高速充電 (EV/XFC) エコシステム内のシステム、ネットワーク、資産に対する脅威を管理する上で企業や組織を支援するために、リスク管理プログラムの一部として設計されている」ものです。また、「エコシステムに関連する関係者に、フレームワークに沿った形で、自らのサイバーセキュリティ体制を評価し、伝達する手段を提供する」ものでもあります

NISTによると、企業や組織はこのプロファイルを以下のように活用できます。

  • エコシステムの各ドメインにおける主要な資産とインターフェースを特定する。
  • EV/XFCサービスの管理と利用におけるサイバーセキュリティリスクに対処する。
  • EV/XFCサービス、機器、データに対する脅威、脆弱性、およびそれに伴うリスクを特定する。
  • リスクを管理可能なレベルまで低減するための保護メカニズムを適用する。
  • EV/XFCサービスの中断や操作を検知する。
  • EV/XFCサービスの異常に対して、タイムリーかつ効果的で回復力のある方法で対応し、復旧する。

NIST IR 8473では、NIST SP 800-20ISO/SAE 21434、ISA/IEC 62443など、IT、オペレーショナルテクノロジー (OT)、自動車の標準や規制を参照することも推奨されています。

NIST IR 8473からの推奨事項

NIST IR 8473は、NISTサイバーセキュリティフレームワークv1.1をベースにしています。このフレームワークは、EV/XFCエコシステムにおける「サイバーセキュリティリスクを管理するための戦略的な高レベルの視点を提供する」5つの機能で構成されています。

FunctionDescriptionCategories
特定「特定」機能における活動は、フレームワークを効果的に使用するための基盤となります。事業の状況、重要な機能を支える資源、および関連するサイバーセキュリティリスクを理解することで、組織はリスク管理戦略とビジネス上のニーズに合致した形で、取り組みに注力し、優先順位をつけることができるのです。資産管理
事業環境
ガバナンス
リスク評価
リスク管理戦略
サプライチェーンリスク管理
保護「保護」機能は、潜在的なサイバーセキュリティ事象の影響を制限または封じ込める能力を支援しますアイデンティティ管理、認証、アクセス制御
意識向上とトレーニング
データセキュリティ
情報保護のプロセスと手順
保守
保護技術
検知「検知」機能により、サイバーセキュリティ事象をタイムリーに発見することができます。異常と事象
セキュリティの継続的な監視
検知プロセス
対応「対応」機能は、潜在的なサイバーセキュリティ事象の影響を封じ込める能力を支援します。分析
コミュニケーション
改善
緩和
対応計画
復旧「復旧」機能は、サイバーセキュリティ事象による影響を減らすために、通常の運用への適時の復旧を支援します。コミュニケーション
改善
復旧計画

表1:NIST IR 8473の基礎となるNISTサイバーセキュリティフレームワークv1.1の5つの機能

VicOneによる支援

VicOneは、EVSEメーカーやCPOに対して、多層的なサイバーセキュリティ保護ソリューションを提供し、EVSEや充電システムを潜在的な攻撃から保護し、以下のソリューションが可能となります。

  • EV充電器のバイナリやファームウェアに存在する脆弱性や不正なオブジェクトを継続的に特定します。
  • 侵入検知・防止システム(IDS/IPS)技術により、サービス拒否(DoS)などの潜在的な攻撃から充電ステーションを保護します。
  • VicOneの革新的な仮想パッチ技術を活用することで、充電器メーカーは効果的な緩和策を講じることができ、コードを変更することなく、ベンダーのパッチリリースまでの平均102日間の保護を提供できます。

このように、VicOneのソリューションは、NIST IR 8473で推奨されている「特定」「保護」「検知」「対応」の機能をカバーしています。

Figure 2. VicOne’s complete solutions for protecting the EV charging infrastructure

図2:電気自動車の充電インフラを保護するためのVicOneの包括的なソリューション

NIST IR 8473の仕様は、EV/XFCエコシステムをカバーするだけでなく、ISO/SAE 21434などの自動車関連の標準や規制も含んでいることを改めて強調しておくべきでしょう。そのため、EVSEメーカーやCPOは、自動車業界とサイバーセキュリティの両方に精通したパートナーを必要としています。この点でVicOneが貴重なサポートを提供することができます。VicOneはISO/SAE 21434およびその他の関連する標準や規制に関する豊富な経験を有しています。また、VicOneの受賞歴のあるEV充電システムソリューションは、特に、電力およびエネルギー管理ソリューションのグローバルリーダーであるデルタ電子によって採用され、その電気自動車の充電インフラを潜在的な脅威から確実に保護しています。

リソースからもっと知る

自動車サイバーセキュリティの理解を深める

ブログを読む

自動車業界のお客さまのサイバーセキュリティを加速させるために

デモの依頼