UN-R155について
国連欧州経済委員会(UNECE)の持続可能な輸送部門内の作業部会「車両規則の調和世界フォーラム(World Forum for Harmonization of Vehicle Regulations)」(WP.29)によって作成された規制枠組みのこと指します。「WP.29」では、技術の進歩を規制枠組みに統合し、将来的により安全で環境に配慮した車両が製造されることを目指しています。その一環として、2021年1月にUN-R155が導入されました。
UN-R155には、車両にサイバーセキュリティ管理システム(CSMS)の存在が必要とされます。つまり、CSMSは、車両の開発プロセスとライフサイクル全体にわたって、適切なサイバーセキュリティの実践と措置が適用されていることを確保するものです。
影響範囲について
UNECEのWP.29で作成されたこの規制枠組みは、欧州連合、英国、日本、韓国を含む54の加盟国に適用されます。また、特定の地域や国では、製造業者(OEM)がその市場に参入する前にUN-R155やその他のWP.29規制に従うことが求められる場合があります。
UN-R155は、製造業者を対象としていますが、車両の開発、生産、および後生産の段階でCSMSが必要であるため、サプライチェーン全体に影響を与えます。
また、自動車メーカーとその他の関係者がより安全なコネクテッドカーエコシステムを作り上げ、さらなる開発と可能性に向けた余地を残すことを支援する前進的な取り組みと捉えることができます。
UN-R155の準拠について
UN-R155は、CSMSが存在しており、サイバーセキュリティが適切に実現されているかどうかを評価するための一般的な目標に基づく要件を示しています。この規制によって企業に課せられる主な課題は、徹底的なリスク評価を実施する必要があることと、車両のライフサイクル全体でサイバー攻撃を特定し、対処する必要があることです。
このため、UN-R155には、69件の攻撃経路やリスクをリストアップし、メーカーが自社の車両を保護するために考慮すべき重点項目を定義した「付属書5」が含まれています。これらの重点項目には、以下のものが含まれます。
- バックエンドサーバ: バックエンドサーバに関連する脅威の例には、スタッフによる特権乱用やサーバーへの不正なインターネットアクセスが含まれます。
- 通信チャネル: 車両の内部通信チャネルに関わる脅威には、メッセージスプーフィング、コードインジェクション、情報の傍受が含まれます。
- アップデート手順: 車両のアップデート手順に由来し、またはそれに関連するリスクには、アップデートプロセス前のソフトウェアの操作や、アップデート展開を阻害するサービス拒否(DoS)攻撃が含まれます。
- ヒューマンエラー: この重点項目は、定義されたセキュリティ手順に従わない場合や、サイバー攻撃の手口に騙される場合など、人為的な行動によってもたらされるリスクが含めまれます。
- 外部接続: 外部接続のリスクは、車両が外部環境とどのようにやり取りし、通信するかに関係します。これには、車両のセンサー、外部インタフェース、およびリモート機能への攻撃が一般的に含まれます。
- データまたはコード: データまたはコードに関連する脅威は、車両が格納、収集、および使用するデータや情報に影響を与えます。例には、オーナーの個人情報への不正アクセス、車両データの偽造、および悪意のあるソフトウェアの導入が含まれます。
- 脆弱性対処: この重点項目は、保護措置がそれらに対するシステムの防御を不十分にすれば悪用される可能性がある脆弱性に関係しています。このようなリスクには、暗号技術、ハードウェア、およびソフトウェアの侵害が含まれます。
UN-R155準拠におけるVicOneの支援
自動車サイバーセキュリティが常に進を続け、新たな規制への準拠が求められる中、自社のアーキテクチャに最適なソリューションを決定することは困難でしょう。CSMS認証を受け、サイバー脅威に適応するためには、車両のライフサイクル全体にわたって、リスクを特定、分析、防御できる対策を講じる必要があります。
VicOneは、総合的かつ柔軟なソリューションを提供することで、UN-R155に準拠し、安全な車両の開発を支援します。そして自動車サイバー脅威情報を活用し、エンドツーエンドの車両サイバーセキュリティ保護を提供することで、VicOneのソリューションは、UN-R155の準拠を確実にし、同時に最新の自動車サイバーセキュリティ事例の最前線での支援が可能となります。
ソリューションを詳しく知る デモを依頼する詳しく知る
UN-R155の準拠が必要な車両カテゴリー
UN-R155は、UNECEによる以下のカテゴリーと条件に適用される、乗用車、バン、トラック、バス、および特定の軽四輪車をカバーしています。
- カテゴリーM/N:少なくとも4つの車輪を持つ車両
- カテゴリーO:少なくとも1つの電子制御装置(ECU)が取り付けられたトレーラー
- - カテゴリーL6/L7:少なくともレベル3の運転自動化が搭載された軽四輪車
UN-R155が適用される国
UN-R155は、1958年の「UNECE交通協定と条約(UNECE Transportation Agreements and Conventions)」の54の加盟国、欧州連合、英国、日本、韓国を含む加盟国に適用されます。ただし、54の加盟国に販売する意向がある場合、加盟国でない国もこの規制の影響を考慮する必要があります。
UN-R155がメーカーやサプライヤーに与える影響
この規制によれば、メーカーは、開発、生産、および生産後を含む車両のライフサイクル全体において、サイバーセキュリティの方法とプロセスが実装されていることを証明する必要があります。規制要件を満たしたメーカーは型式承認を受け、規制を採用した国々で自社の車両を販売し、顧客に信頼性の高い企業としてブランディングすることができます。Tier 1およびTier 2サプライヤーは独自の準拠承認を取得する必要はありませんが、サイバーセキュリティの要件が実装されていることをメーカーに証明する必要があります。
UN-R155における自動車サイバーセキュリティの要件
UN-R155では、主にCSMSおよび車両型式承認の取得要件について説明されています。メーカーは、認定されたCSMSを採用し、サイバー脅威および脆弱性に対して車両のライフサイクル全体を保護する必要があります。車両型式承認に関しては、メーカーは、設計アーキテクチャ、リスク評価、およびサイバーセキュリティコントロールにおいて、サイバーセキュリティ対策を実装していることを証明する必要があります。
UN-R155における道路上車両への影響
UN-R155の施行前に発行された既存の車両および型式承認には影響がありません。
UN-R155およびISO/SAE 21434との関係について
UN-R155とISO/SAE 21434の両方は、車両のライフサイクル全体にわたるサイバーセキュリティリスク管理の要件を含んでいます。メーカーおよびサプライヤーがISO/SAE 21434規格を満たすことができれば、UN-R155にも準拠可能となります。
リソースからもっと知る
自動車サイバーセキュリティの理解を深める
