指数関数的に増大するサイバーリスク。
しかし、それを管理する体制は
いまだ直線的な歩みにあります。
VicOne 2026年 自動車サイバーセキュリティレポート
自動車のサイバーリスクは、もはや明確な順序をたどって発生するものではありません。従来型プラットフォーム、ソフトウェア・デファインド・ビークル(SDV)、コネクテッドサービス、AI対応機能が、同一の車両エコシステムの中で同時に動作しています。リスクは重なり合い、複合的に拡大し、加速しています。それでも多くの組織は、それぞれのシステムが独立しているかのようにサイバーリスクを管理し続けています。本レポートは、従来と同じ方法でサイバーリスクを管理し続けることがなぜ経営上の重大なリスクになりつつあるかを解説します。
自動車業界は今、岐路に立っています。
岐路に立つ自動車サイバーセキュリティ
オーバーラップ期の自動車サイバーリスクに、
単一のガバナンスモデルはもはや通用しません。
本レポートは、将来の脅威を描くものではありません。すでに今日発生している自動車サイバーインシデントが、従来のセキュリティ体制では抑えきれないビジネス影響をなぜ生み出しているのかを解説しています。リスクが車両ドメイン、企業IT、サプライチェーン、ディーラー環境へと瞬時に波及する現在、責任の所在もまた、実際のリスク伝播の経路に合わせて再編される必要があります。
を明確にする仕組みが追いついていません
拡大し続けるアタックサーフェスに対し、責任の所在を明確にする仕組みが追いついていません
独立したシステムから、重なり合うリスク領域へ
2024年と比べ、企業 ITシステム(ランサムウェア攻撃やデータ漏洩など)、車両外システム、車載システムを同時に標的とする攻撃が常態化しています。これは攻撃者の行動が変化したのではなく、自動車システムの構造そのものが変わった結果です。
しかしガバナンスは依然として、これらのシステムが独立しているかのようにリスクを管理しています。所有権、説明責任、意思決定権限は、分断されたままです。
集約されていくシステムに対し、責任の所在はバラバラに分断され、不透明なままです。
もはや単一組織内に留まらなくなっています
サイバーインシデントは、もはや単一組織内に留まらなくなっています
局所的なインシデントから、グローバルな影響へ
2024年比で、複数の子会社・事業部門をまたぐ「グローバルインシデント」は3倍以上に増加しています。2025年には、610件中161件が「グローバルインシデント」となりました。
自動車サイバーリスクは、もはや技術的な問題ではありません。地域やサプライチェーンにまたがるガバナンス上の課題です。
ソフトウェアプラットフォームとOTAインフラの集約化が進むほど、ひとつのセキュリティ障害の影響が組織全体へ急速に波及します。
ドライバー体験に直接的な影響を及ぼします
サイバーリスクの33%は、ドライバー体験に直接的な影響を及ぼします
最新データは構造的な変化を裏付けています。 攻撃者は引き続き企業ITシステムを標的としながら、車両アーキテクチャの上位層であるユーザー接点層へと攻撃を拡大させています。
これは、攻撃者の成熟度が新たな段階に達したことを示す兆候です
ドライバーが日常的に利用する車載システムが主要な攻撃対象として浮上し、観測された攻撃の約 40% を占めています。
サイバーリスクがドライバーに近い層へ移行するにつれ、障害は信頼、購買意向、ブランド価値に直接影響する可視性の高いインシデントへと変質します。
保険カバレッジがシステムの複雑化に追いつかない状況において、発生した損失はOEMへと直接転嫁される割合が高まっています。
組織の管理範囲外に存在しています
サイバーリスクの11%は、組織の管理範囲外に存在しています
「制御できている」という誤認
旧来を維持し、次世代を守る
車両ドメインの変遷とともに進化するサイバーリスク
自動車業界に携わる組織には今、従来の車両プラットフォーム、SDV、AI定義型技術という性質の異なる領域におけるリスクを同時に管理することが求められています。「過去・現在・未来」のフレームワークは、主要な車両機能領域においてリスクが現在どこに集中しているか、そして車両技術の進化とともにどう移行していくのかを把握するための指針となります。
IVI/スマートコックピットシステム
PAST
- 脆弱なBluetooth/Wi-Fi
- USB経由のエクスプロイト
- ブラウザの脆弱性
PRESENT
- サプライチェーン攻撃
- OTAベースのエクスプロイト
- クラウドAPIへの攻撃
FUTURE
- AIを用いた攻撃
- V2Xの悪用
- プロンプトインジェクション攻撃
ADAS(先進運転支援システム)
PAST
- ハードウェア/ソフトウェアの脆弱性
- 予測が難しい人間の行動
PRESENT
- LiDAR/カメラへの攻撃
- GNSSスプーフィング
FUTURE
- 分散型AIのリスク
- V2Xの悪用
パワートレイン
PAST
- ジェイルブレイク
- 診断機能の悪用
- ハードウェア隔離
PRESENT
- BMSの改ざん
- バッテリーセンサーフィードバックのスプーフィング
FUTURE
- 敵対的なグリッド操作
- パワートレインモデルの意思決定バイアス
ボディ制御およびアクセスシステム
PAST
- リプレイ/リレー攻撃
- CANインジェクション
PRESENT
- ローリングジャム
- キープログラミング
FUTURE
- 暗号解析
- 位置情報/時刻のスプーフィング
EV充電インフラ
PAST
- 断線(Brokenwire)攻撃
- USB経由のエクスプロイト
PRESENT
- OTAアップデートのハイジャック
- API/侵入口のエクスプロイト
- 充電ステーション管理システム(CSMS)の脆弱性
FUTURE
- ボットネットによる電力網の不安定化
- 設計段階からのセキュリティ不備
AI定義型車両(AIDV):台頭するAI関連の脅威
オーバーラップ期を切り拓く実践的な道筋
自動車業界は今、複数のリスク領域が複雑に重なり合う「オーバーラップ期」という、かつてない局面を迎えています。この時代における成功の鍵は、責任の所在を各領域でいかに一貫性を持って整合できるかにかかっています。
プレッシャー下での意思決定を確実にする
ガバナンスはもはや、個別のシステムや組織のサイロごとに構築することはできません。リスクが車両ドメイン、企業IT、サプライチェーン、ディーラー環境へと瞬時に波及する現在、責任の所在もまた実際のリスク伝播の経路に合わせて再編される必要があります。これにより、インシデントが拡大した際にも迅速かつ一貫した意思決定が可能になります。
リスクをリアルタイムに再計算できるようにする
定期的な評価や静的なリスクモデルでは、突発的に発生する領域横断型の攻撃には太刀打ちできません。組織には、脅威インテリジェンス、運用のテレメトリ、脆弱性の露出データを統合し、リスクを絶えず再計算する能力が求められます。これにより、状況の変化に応じて的確な優先順位付けを支える最新かつ共有されたリスク全体像を描き出すことができます。
攻撃者よりも早い進化を確実にする
攻撃者がAIや自動化を駆使してくる以上、防御側も同じ速度で進化しなければなりません。AIを活用したセキュリティテストやレッドチーミングは単発的な評価を継続的な学習ループへと変えます。実際の攻撃経路から得られた知見をリスク算出に即座にフィードバックすることで組織の適応力を高め、対応までの時間を短縮することができます。
今日下されるサイバーセキュリティに関する意思決定が、次の10年における車両への信頼の姿を形作ります
自動車サイバーセキュリティの未来
サイバーインシデントは「リーダーシップの試金石」となる
サイバーインシデントは、もはや技術的障害として評価されるものではありません。それはリーダーシップの試金石であり、社会からの信頼は経営陣の対応の速さと明確さによって決まります。
AI学習データが新たなサプライチェーンリスクとなる
車両がAI定義型へと進化するにつれ、学習データの侵害は車両の挙動に世代を超えて残存する継続的なリスクをもたらし、容易には修正できない状態が生まれます。
ランサムウェアが車両群停止の武器となる
ランサムウェアはデータ窃取から車両群規模の業務麻痺へと進化しています。サイバーリスクはデータ損失だけでなく、可用性と収益継続性によって測られるようになります。
一度のOTA侵害が取締役会レベルの危機に直結する
OTAへの信頼が集中する現在の構造では、一度の侵害が車両群規模の影響をもたらします。プレッシャー下での意思決定が遅れれば、大規模リコールと多大な運用コストへと急速に発展する恐れがあります。