東南アジアにおけるCASEの進展と自動車関連セクターにおけるセキュリティ対応

東南アジアにおけるCASE*1の進展状況

多くの日系自動車メーカーが進出する東南アジア市場も、世界的なインフレーション、経済安全保障やカーボンニュートラルの流れの中で、消費者の嗜好の急速な変化、各国におけるEV振興策及び規制強化の動き、新たな革新的コラボレーションなどにより、大きな変貌を遂げつつあります。

デロイトでは、2022年9月から10月にかけて24カ国の26,000人以上の消費者を対象に2023年度版「グローバル自動車消費者意識調査」を実施しております。同調査の中では、以下のような電気自動車（EV）導入に対する消費者の関心、ブランド認知、先進技術など、自動車セクターに影響を与えるさまざまな重要課題に対する消費者意識の変化が見られました。

1. Vehicle electrification: 車両電動化

• 東南アジア全域では、ハイパーインフレへの圧力が強くなり、消費者は自動車の保有コストの低減を模索する中、電気自動車への関心は強くなっている
• 他方、その普及には公共での充電場所の拡大、平易な支払方法の整備等が重要

2. Future vehicle intentions: 将来的な購買意欲

• 次の購入車にBEV（電気自動車）を選択する消費者が、前年より大きく増加
• 受注生産への移行の可能性も視野にある状況 － 半導体サプライチェーンの危機的状況によって、東南アジア市場において納品までの許容範囲は拡大しつつある
• 透明性のある価格やお得感のある購買体験が重視される

3. Vehicle brand and service experience

• 東南アジアの消費者はディーラーを最も信頼しており、そのことは地域のバリューチェーンにおけるディーラーの重要性を示している

4. Connectivity: 接続性

• 東南アジアの消費者はコネクテッドカーによって彼らのデータを提供することに前向き
• 支払については、サブスクリプションでの支払は望まず、使用に応じた課金もしくは、イニシャルでの支払を望んでいる

参考：2023 Global Automotive Consumer Study Key Findings: SOUTHEAST ASIA (SEA)（英語）

*1 CASE：下記の頭文字をとった自動車業界の変革を示すキーワード
C：Connected/コネクテッド （自動車のIoT化）
A：Autonomous/自動運転
S：Shared & Services/カーシェアリング&サービス
E：Electric/電気自動車

自動車関連セクターにおけるセキュリティ対応のポイント

このようにCASEをキーワードに大きな転換期を迎えている自動車セクターにおいて、喫緊の課題になっているのがサイバー攻撃への対策です。CASEの進展により自動車はスマホやパソコンと同様にITネットワークから接続すること・操作することが可能になったことで「自動車へのサイバー攻撃」という脅威が顕在化しています。自動車へのサイバー攻撃によって、スマホやパソコンへの攻撃とは性質の異なる、またより深刻な影響が見込まれることは論を俟ちません。サイバー攻撃による影響の大きさは、攻撃者にとっての魅力そのものであり、攻撃手法のさらなる高度化が自動車セクター向けに進んでいくことも考慮する必要があります。

こうした脅威の拡大・深刻化が見込まれる自動車セクターにおいて、サイバー攻撃への対策が必要となるデジタル環境は、一般的に下図の4つに分類される領域によって構成されます。IT環境は自動車セクターに限らず保有される従来からの情報システム・ネットワーク環境です。OT環境は従来、その他のITネットワークからは隔離されているのが一般的でしたが、工場のIoT化が進展し、IT環境と同様にサイバー攻撃への対策が必要となっています。In-Car、Out-Car環境は自動車そのもの（電子部品等）または自動車内外で顧客向けにサービス提供するための環境です。自動車セクターにとっての新しいチャレンジが行われる領域であるため、新しいリスクが伴うことを踏まえ、サイバー攻撃への対策を先回りして行うことが重要な領域と考えられます。

サイバー攻撃から自動車や利用者を守るためには、上記の全ての領域に関する対策を網羅的に整備することが必要です。同時に、各領域はそれぞれが独立しているわけではなく、強く関連づいているため、サイバー攻撃対策に関しても、上記の4つの領域を有機的に連携させて横断的な対策を構築することが重要です。

対策の検討・構築にあたっては自動者セクターに限らず、日々高度化するサイバー攻撃への対策を各社単体で網羅的に且つ適切なレベルで検討することは困難と言えます。また自動車セクターにおいてはサプライチェーンを構成するいずれかの会社が侵害されることにより、サイバー攻撃の被害がサプライチェーン全体へと波及することが近年のインシデント事例から明らかになりました。サプライチェーン全体で一定レベルのサイバーセキュリティ対策を整備することが必要であり、そのためのガイドライン作りが国内外で進められています。東南アジア地域の日系をはじめとする自動車セクター企業が活用できるガイドラインとしては下記が挙げられます。

1. IT領域（エンタープライズシステム等）

a. 自工会/部工会・サイバーセキュリティガイドライン（外部サイト）

自動車メーカーやサプライチェーンを構成する各社に求められる自動車産業固有のサイバーセキュリティリスクを考慮した対策のフレームワーク。対策はレベル1からレベル3に分かれ、合計153項目が定義されている。ガイドラインのほか、付録として解説書、チェックシートが作成されている。また2023年3月には4000社以上のセルフチェック結果の集計レポートも公開されており、会社分類や会社規模ごと平均値などを参照することができる。

• 自工会/部工会・サイバーセキュリティガイドライン2.0版

• 自工会/部工会・サイバーセキュリティガイドラインV2.0解説書

• 自動車産業 セキュリティチェックシート(V2.0)

• 2022年度自動車産業サプライチェーンへのサイバーセキュリティ推進活動集計データ最終結果公表（自動車産業サプライチェーンへの推進活動）（外部サイト）

2. OT領域（工場制御システム等）

a. IEC62443

制御システムにおけるセキュリティガイドラインで、サイバー攻撃による不正操作などから制御システムを保護することを目的としている。対象者ごとに4つのパート（概要、ポリシー・手順、システム、コンポーネント）があり、セキュリティレベルは5段階（SL0～SL4）で定義している。

b. 工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン（外部サイト）

日本の経済産業省が2022年11月に公開したガイドライン。工場のIoT化によるサイバー攻撃リスクの増加に加え、意図的でない場合でもたまたま攻撃される場合もあるなど、いかなる工場でもサイバー攻撃のリスクがあるという前提のもと、工場のBC/SQDC^*2の価値のサイバー攻撃による毀損を防ぐことを目的として策定されたもの。対策を企画・実行するに当たり、参照すべき考え方やステップが「手引き」として示されているガイドラインのほか、概要資料、全35項目の確認項目からなるチェックリストも作成されている。

• 工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0

• 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」概要資料

• 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」付録E チェックリスト

*2 BC/SQDC
BC：Business Continuity/事業・生産継続
S：Safety/安全確保
Q：Quality/品質確保
D：Delivery/納期遵守・遅延防止
C：Cost/コスト低減

3. In-Car領域（車両システム）/Out-Car領域（顧客情報サービス等）

a. UN-R155（United Nations-Regulations 155）

自動車ライフサイクルの全体にわたるサイバーセキュリティ対策に関して、車両型式認証およびCSMS（Cyber Security Management System）認証の取得を求める国連標準。サイバーセキュリティリスクの管理、インシデント対応などのプロセス構築やリスクアセスメントの実施などが要件として含まれている。

b. UN-R156（United Nations-Regulations 156）

自動車のソフトウェア更新に関して、車両型式認証およびSUMS（Software Update Management System）認証の取得を求める国連標準。ソフトウェア更新の適切さを担保するためのプロセスや不正なソフトウェア更新の防止などが要件として含まれている。

なお、UN-R155、156の認証取得は自動車メーカーに求められるところですが、調達品等のコンポーネントについても要件を満たすことを証明する必要があります。そのため、UN-R155、156にて定められる要件への対応は東南アジア地域に拠点を置く自動車セクターの幅広い企業（サプライヤ―等）も自動車メーカーより求められる可能性があり、具体的な要件へ対応は依頼元の自動車メーカーと十分に協議をすることが推奨されます。

最後に

デロイト トーマツ グループではアジアにおける日系をはじめとする自動車セクター企業に対して数多くのCASE関連の支援を行っています。本稿では、それらの経験を基に、CASEに関連して要請されるセキュリティ対応のポイントを取り上げました。東南アジアにおける競争環境が急激に変化する中で、日系自動車セクターはこれまでの地域戦略を見直すべき時機に直面しており、特に現地におけるセキュリティ対応は重要アジェンダの一つと考えられます。本稿がアジアにおける自動車セクター企業にとってのセキュリティレベル向上の一助となれば幸いです。

なお、本文中における見解は特定の組織を代表するものではなく筆者の私見です。