ISO/SAE 21434とは — 自動車サイバーセキュリティエンジニアリングの規格
ISO/SAE 21434は、自動車のサイバーセキュリティエンジニアリングに関する国際規格である。本記事は、この規格が何を定めるのか、サイバーセキュリティ規制であるUN-R155とどう関係するのか、SDV(ソフトウェア・デファインドな車)開発とサプライチェーンにどう効くのかを整理する。結論を先に言えば、UN-R155が「何を達成すべきか(What)」を定める規制であるのに対し、ISO/SAE 21434は「どう達成するか(How)」を定めるエンジニアリングの規格であり、両者は対で運用される。
ISO/SAE 21434とは何か
ISO/SAE 21434:2021とは、車両のライフサイクル全体(設計・開発・製造・運用・廃車)を通じたサイバーセキュリティの作り込みプロセスを体系化した国際規格であり、2021年8月に発行された(出典:ISO/SAE 21434:2021)。UN-R155の「エンジニアリング基盤」として位置づけられ、組織レベルのガバナンスから、設計段階のセキュリティ要件定義、脅威分析までを規定する。
14条項とCAL——「保証レベル」の考え方
ISO/SAE 21434は14の条項(Clause)から構成される。組織レベルのサイバーセキュリティ管理、設計段階での要件定義、そして実務的核心であるTARA(脅威分析・リスクアセスメント)などを体系的に定める。
中核概念の一つがCAL(サイバーセキュリティ保証レベル)である。これはISO 26262の機能安全における安全度水準(ASIL)に相当する考え方で、CAL 1(最低)からCAL 4(最高)の4段階でセキュリティの保証レベルを分類する。CALはTARAの結果(脅威の深刻度・攻撃の実現可能性・影響範囲)に基づいて決まる。
TARA——脅威分析とリスク評価の4ステップ
TARAはISO/SAE 21434の実務の中心であり、おおむね次の流れで実行される。
| ステップ | 内容 |
|---|---|
| 1. 資産の特定 | 守るべき資産(ファームウェア、OTAパッケージ、走行データ、暗号鍵など)を洗い出す |
| 2. 脅威の特定 | 各資産への脅威シナリオ(不正アクセス・改ざん・サービス拒否など)を列挙 |
| 3. 攻撃経路の分析 | 物理・リモート・サプライチェーン経由などの攻撃経路を分析 |
| 4. リスク判定 | 深刻度と実現可能性からリスクを判定し、CALを決定 |
SDVのアーキテクチャでは、TARAを各領域の境界面(プロセス間通信の端点、共有メモリ、仮想ネットワーク)ごとに実施する必要がある。安全制御とAI推論の間の通信のように、影響が大きい経路ほど高いCALが求められる。seL4のような能力ベースのアクセス制御は、こうした境界面のアクセス制御を構造的に保証する手段になる。
UN-R155との関係——「How」と「What」を統合する
UN-R155は、メーカーがCSMS(サイバーセキュリティ管理体制)を確立し、車両のサイバーセキュリティを組織的に管理することを求める。ISO/SAE 21434は、そのCSMSの中身であるエンジニアリングプロセスを具体的に定義する規格として機能する。
実務では、UN-R155のCSMS認証審査で、ISO/SAE 21434への準拠を証拠として提出するのが一般的だ。ただしUN-R155はISO/SAE 21434への完全準拠を法的に義務づけているわけではなく、同等のセキュリティエンジニアリングプロセスが確立されていれば認証は取得できる。つまり21434は「必須ではないが、事実上の標準的な達成手段」という位置づけになる。
サプライチェーンへの影響——「暗黙の信頼」から「文書化された管理」へ
ISO/SAE 21434は、メーカーと一次・二次サプライヤの間でのサイバーセキュリティ責任の分担も規定する。SDVでは、半導体(SoC)、車載OS、クラウド基盤といった多層のサプライチェーンの各層にセキュリティ管理が求められる。
日本の自動車産業の「系列」構造では、長期的な取引関係に基づく信頼がセキュリティ管理を暗黙的にカバーしてきた。しかしISO/SAE 21434は、文書化されたサイバーセキュリティ・インターフェース契約を要求しており、暗黙の信頼ではなく明示的な管理プロセスの構築を求める。これは取引慣行に対する構造的な変化である。
まとめ:21434は「設計思想」を組織に定着させる規格
ISO/SAE 21434は、個別の技術対策(暗号化・ファイアウォール等)の前提となる「サイバーセキュリティの設計思想」を組織に根づかせる規格である。UN-R155認証を取得するための事実上の必要条件であり、早期の着手が現実的だ。自社で具体化する際、まず確かめたい論点は次のあたりになる。
- TARAを、設計プロセスのどこに・誰の責任で組み込むか。
- CSMS(UN-R155)と21434のプロセスを、どう一体で運用するか。
- サプライヤとのセキュリティ責任分担を、文書化された契約としてどう設計するか。
規制側の枠組みはUN-R155とサイバーセキュリティ規制(CSMS認証)の構造と実務を、規制対応の経営インパクトはSDVとサイバーセキュリティ/法規制の経営インパクトを、SDV全体像は【SDV入門】経営層が掴むSDVの全体像をあわせて参照してほしい。自社の体制に即したセキュリティエンジニアリングの実装は個別性が高く、具体化の段階では外部の視点を入れると論点整理が速い。