UN-R155

UN-R155とは、国連の自動車基準調和世界フォーラム（WP.29）が策定した車両サイバーセキュリティに関する国際規則であり、自動車メーカーにCSMS（Cybersecurity Management System）の構築・認可を車両の型式認証の前提として要求するものである。

詳細解説

UN規則第155号（UN-R155）は2021年1月22日に発効し、CSMS適合証明の取得を車両型式認証の前提条件とした。規則の要求は2層構造になっている。第一に、メーカーは組織としてサイバーセキュリティリスクを管理する仕組み——CSMS——を構築し、認可当局からCSMS適合証明（Certificate of Compliance for CSMS）を取得する（§6）。この証明の有効期間は最長3年で、継続には更新審査が必要となる（§6.7）。第二に、個々の車両型式について、リスク評価と対策の実施を審査される（§7）。つまり「組織の体制」と「車両型式」の両方が認可対象である。

規則本文では、CSMSは「車両へのサイバー脅威に関わるリスクを扱い、車両をサイバー攻撃から守るための、組織のプロセス・責任・ガバナンスを定義する体系的なリスクベースアプローチ」と定義される（§2.3）。また附属書5（Annex 5）が脅威・脆弱性（Part A）とそれに対応する対策の一覧を定めており、CSMSのプロセスと車両型式の審査の双方がこのリストを参照する。

EUでは、第2次一般安全規則（GSR II: Regulation (EU) 2019/2144）の Annex II 要件D4「Protection of vehicle against cyberattacks」（Delegated Regulation (EU) 2022/1398 により挿入）が UN-R155 を指定し、注記Bにより新型式は2022年7月6日から、すべての新規登録車は2024年7月7日から適合が義務付けられている（2026年6月時点）。

SDVにおける位置づけ

OTAアップデートやコネクテッド機能を備えるSDVは、ソフトウェアと通信経路の分だけ攻撃対象領域（アタックサーフェス）が広がる。UN-R155は、この拡大したリスクを「出荷時の対策」ではなく「ライフサイクル全体の管理体制」として規律する制度的応答であり、SDVの商品性とセキュリティを両立させるための土台にあたる。

なお、ソフトウェア更新の管理を扱う UN-R156（SUMS）とは別個の規則・別個の認可である。UN-R155がリスク管理（守り）の体制を、UN-R156が更新プロセス（変える力）の体制をそれぞれ規律し、両者がそろって初めてOTAを継続運用する規制上の前提が整う——この関係は「セット」ではなく「補完」と理解するのが正確である。