自動車情報セキュリティ管理のためのTISAX®

ビジネスチャレンジ

自動車業界では脱炭素化に向けた電気自動車、自動運転、コネクテッドサービスなど、新たな覇権をかけた大競争時代に入っています。米国カリフォルニア州では、2035年にHVを含めたガソリン車の撤廃が承認されました。
各企業はサプライチェーンを巻き込み、新技術の開発に多額の資金を投下すると共に、これらの情報保護に実効的な仕組みを構築する必要性に迫られています。しかし自動車産業全体でのサプライチェーンは極めて幅広く、技術の漏洩を防ぐことは容易ではありません。しかし、サプライヤーやディーラーで情報の漏洩をはじめとするインシデントが発生した場合、新技術全体に大きな影響を及ぼす可能性があります。そのためにセキュリティレベルの確認は最重要事項のひとつです。

TISAX®とは

TISAX®はTrusted Information Security Assessment Exchangeの略で、相互監査による業界共通の情報セキュリティ標準としてドイツ自動車工業会（VDA）によって開発されたISO/IEC 27001/27002などの国際的なISMS規格に基づいた自動車サプライチェーンのセキュリティ要求事項です。この標準の中ではVDA ISAと呼ばれる情報セキュリティカタログ（標準）が定められており、この標準にしたがって情報セキュリティのレベル判定がされます。監査基準にも使用され、取り扱われるリスクによって求められるレベルも変わります。制度の運用はENX: European Network eXchangeが担っており、ポータルの運用も責任を負っています。
TISAX®は、委託側の求める評価目的に従い、共通のセキュリティレベルを確立して評価の共通認識を確保することよってメーカーとサプライヤーにとって、コスト、労力、複雑さを軽減することを目標とした情報セキュリティマネジメントシステムを提供します。自動車業界において、情報セキュリティの事実上の国際標準となりつつあります。

ソリューション

認定団体であるENXに登録した後、国際指定監査機関による監査を受けて、その結果をポータルに公開（公開先指定）されることにより、自動車サプライヤーが監査を成功裏に完了していることの証明を取得します。OEMをはじめとする自社の顧客へ情報セキュリティ標準をクリアしていることを公式に証明することになります。

組織にとってのメリット

TISAX®に準拠した情報セキュリティマネジメントシステムを実装することにより、情報セキュリティ侵害とサイバー攻撃の予防に役立ちます。
データ保護への包括的なアプローチによって顧客の信頼を獲得します。
情報セキュリティを客観的に評価することにより、リスクの特定・対処のレベル向上に役立ちます。
主要な認証機関の一つから審査登録されることにより社会的な認知度が向上します。
TISAX®オンラインプラットフォーム上の評価結果を共有することによって顧客への透明性、信頼性が向上します。

ビューローベリタスが選ばれる理由

ネットワーク：
140ヶ国1,600の拠点、ビューローベリタス各国が持つノウハウを共有
お客様が展開する国内外の事業ネットワークをカバー
認証実績：
約150,000社の企業に対する認証実績
ワンストップ審査：
各規格の審査の一貫性、最適化、効率化を実現

認証までの流れ

事業者は、ENX（認定団体）にポータルに参加者として登録
参加者の役割は2つ
・アクティブ：能動（サプライヤー、サブサプライヤー）
・パッシブ：受動（OEM、サプライヤー）
パッシブ参加者は、パートナー（アクティブ参加者）の審査結果を要求・受審
アクティブ参加者はENX認定の監査法人による監査を受審
監査結果は、ENXのウェブサイトを通じて公開

よくある質問

Q	TISAX®の特徴は何ですか。
A	基本的なフレームワークはISO27001に準拠しています。審査では、評価目的にはInfo high、Proto partsなどの区分があり、それらに従った構築を行う必要があります。
Q	監査員は、事業者の自己評価からAL（監査レベル）や審査範囲をダウングレードすることができますか。
A	監査員は受審者との合意により、評価対象や評価場所の削除・追加を含む評価範囲を変更することができます。プロセスの成熟度レベルは、レベル3アセスメントにおいてのみ採用されます。レベル2アセスメントでは、要求事項に合致しない成熟度レベルはありえないとみなされ、受審者は成熟度レベルを再調整するか、元の成熟度レベルをサポートする追加の証拠を提出しなければなりません。