UN-R155/UN-R156
ISO/SAE 21434

自動車向けサイバーセキュリティUN-R155/UN-R156とISO/SAE 21434

急速な自動車のコネクテッド化に伴いサイバーセキュリティの脅威が拡大する一方、スマートフォンなどでは、一般的な無線通信を経由してデータを送受信するOTA（Over the air）の技術が自動車にも普及しつつあります。こうした動きを受け、UNECE（国連欧州経済委員会）の作業部会WP29（自動車基準調和世界フォーラム）が策定に乗り出し、2020年6月に採択したのがUNECE規則サイバーセキュリティ（UN-R155）、ソフトウェアアップデート（UN-R156）です。EUは、2022年7月に新型車、2024年7月にすべての新車を対象にUN-R155とUN-R156の義務化を予定しています。

また、2021年8月31日には、自動車のライフサイクル全般を通してのサイバーセキュリティの対策を定めたISO/SAE 21434が発行されました。ISO/SAE 21434は、ISO（国際標準化機構）とSAE International（米国自動車技術者協会）が共同で策定した国際規格で、UN-R155で要求されているサイバーセキュリティマネジメントシステム（CSMS）の構築を行ううえでの参照規格となっています。

UN-R155・UN-R156

日本では、世界に先駆け2020年4月に同等の内容の自動運行装置の基準が施行され、自動運転車に適用を開始しました。2021年1月道路運送車両の保安基準の改正でUN-R155とUN-R156を導入したのに伴い、自動運転車以外の自動車にも適用が拡大されました。無線でソフトウェアのアップデートを行う自動車のみならず、OTAに対応していない（有線でソフトウェアをアップデートする）自動車も対象となり、以下のスケジュールでの適用が予定されています。

無線によるソフトウェアアップデートに対応している車両

無線ソフトウェアアップデートに対応していない車両

UN-R155・UN-R156の要件

UNECE規則により、自動車メーカーはUNECE加盟国で自動車を販売する場合、自動車が公道を走行する前にサイバーセキュリティとソフトウェアアップデート対策の実装が求められるようになりました。

主な要件として、国土交通省は以下3つを挙げています。

1. サイバーセキュリティおよびソフトウェアアップデートの適切さを担保にするためのプロセスの確保
2. サイバーセキュリティに関して、車両のリスクアセスメント（リスクの特定・分析・評価）およびリスクへの適切な対処・管理を行うとともに、セキュリティ対策の有効性を検証するための適切かつ十分な試験の実施
3. 危険・無効なソフトウェアアップデートの防止や、ソフトウェアアップデートが可能であることの事前確認など適切な実施を確保

UN-R155が乗用車・トラック・バン・バス・トレーラーなどを対象とするのに対し、UN-R156の対象はそれらに加え農業用トレーラーやトラクターなど、自動車だけにとどまらず幅広く含まれています。

UN-R155・UN-R156の構成と概要

UN-R155とUN-R156はそれぞれ2部構成となります。

CSMSとSUMSは、開発から製造、製造後に至る自動車のライフサイクル全体に用いられるプロセスに対する要件で、自動車メーカーは各新型車に対し、CSMSとSUMSのプロセスが自動車の設計において完全かつ正確に適用されていることが求められます。そして車両の型式認証の申請には、それぞれのプロセスの要件を満たすことが必須です。CSMSとSUMSの要件がプロセスに特化している一方、車両型式の要件は自動車の型式・構造に直結するエビデンスに焦点をあてています。

UN-R155で車両メーカーが求められるセキュリティマネジメントの役割と責任は、自動車の設計・開発・生産、そして企画・納品・納品後の追跡にまでおよび、徹底した組織レベルの対策とあわせて、サプライチェーンに関わるすべてのサプライヤーと連携した取り組みが不可欠です。

また、現在策定中の自動車サイバーセキュリティの国際規格ISO/SAE 21434への準拠は必須とされていませんが、定義されている要件の多くが、ISO/SAE 21434に基づいてCSMSを導入することで適合しやすいものとなっています。

UN-R156では、膨大な部品のソフトウェアのバージョンを規則に対して関連付ける仕組みが必要になります。そこで導入されたのが、特定の規則に適用されるソフトウェアのバージョンすべてをグループ化し、ひとつの番号で管理するRXSWIN ソフトウェア識別番号です。データベース全体が車両型式・部品・ソフトウェアの番号などを追跡し、メーカーが管理しやすくなるよう考えられたものです。しかしこれは任意であり、管理方法は各メーカーに任されているといえます。

認証の流れ

UN-R155・UN-R156の認証の流れは以下のとおりです。

1. 車両メーカーがテクニカルサービスにCSMS・SUMSの公的監査を申請
2. テクニカルサービスがCSMS・SUMSの公的監査（書類審査・インタビュー）を実施
3. 当局がテクニカルサービスのCSMS・SUMSの公的監査の結果に基づき、CSMS・SUMS適合証明書を発行（発行されたCSMS・SUMS適合証明書は3年間有効）
4. 車両メーカーがテクニカルサービスに車両型式の公的監査を申請
5. テクニカルサービスが車両型式の公的監査（書類審査・インタビュー・試験）を実施
6. 当局（type approval authority）がテクニカルサービスの車両型式の公的監査の結果に基づき、車両型式認証書を発行

ビューローベリタスのサービス

ビューローベリタスはUN-R155とUN-R156のテクニカルサービスとしてオランダ（E4）の当局（type approval authority）より認定を受けているSecura、キプロス（E49）の当局（type approval authority）より認定を受けているLCIE Bureau Veritasと連携し、以下のサービスを提供します。

1）公的監査に向けた準備サポート

• ワークショップ
  UN-R155、UN-R156それぞれの要件について正しい理解を目的としたワークショップです。現状のプロセスや求められるプロセスとの潜在的なギャップなど、ご要望に合わせてご相談いただけます。
• 書類準備のアドバイス
  公的監査を受けるにあたり必要書類の準備に対し、アドバイスを提供します。
• ギャップ分析/事前監査
  お客様が作成した書類のレビューと事前監査を通じて、規則遵守で求められるレベルとのギャップの特定。結果を報告し、最適なアドバイスをいたします。
• 事前試験
  お客様のご要望に合わせてUNECE規則の要件に準じた各種試験を実施します。
• 実装サポート
  ギャップ分析/事前監査の結果を踏まえ、ギャップをどう解消し、公的監査に備えるかをサポートします。

2）公的監査（CSMS・SUMS）

書類・プロセスのレビュー、プロセス導入に関わる関係者へのインタビューなど規則に準じて監査を実施し、当局へのCSMS・SUMS適合証明書発行の依頼まで対応します。

3）公的監査（車両型式）

書類・プロセスのレビュー、プロセス導入に関わる関係者へのインタビューなど規則に準じて監査を実施し、当局への車両型式認証書発行の依頼まで対応します。

ビューローベリタスのサービスのフロー

公的監査の対象は車両メーカーのお客様ですが、ワークショップや必要書類準備のアドバイス、ギャップ分析など公的監査前の準備サポートの一部サービスはサプライヤーのお客様にもご利用いただけます。

ISO/SAE 21434

2021年8月31日に発行されたISO/SAE 21434は、ISO（国際標準化機構）とSAE International（米国自動車技術者協会）が共同で策定した国際規格で、部品やインターフェースを含む自動車における企画・開発・生産・運用・メンテナンスなど自動車のライフサイクル全般を通したサイバーセキュリティの対策を定めています。UN-R155全体とUN-R156のサイバーセキュリティの要件を内包し、UN-R155で要求されているサイバーセキュリティマネジメントシステム（CSMS）の構築を行ううえでの参照規格となっています。UN-R155・156が公的監査の対象を車両メーカーのお客様としているのに対し、ISO/SAE 21434はサプライヤーのお客様にも取得いただけます。ISO/SAE 21434を取得すると市場での信頼と評価を獲得でき、ビジネスチャンスの拡大につながります。

ビューローベリタスのサービス

ビューローベリタスはSecuraと連携して以下のサービスを提供します。

1）公的監査に向けた準備サポート

• 事前監査
  要件に対して現状のプロセスのどこが対応していないのかを特定します。
• 実装サポート
  事前監査の結果を踏まえ、要件にあわせての実装をサポートします。
• 事前試験
  製品に対し、要件に準じた各種試験を実施します。

2）公的監査

書類・プロセスのレビュー、関係者へのインタビューなど監査を実施し、要件を満たしていることを確認後、認証書を発行いたします。

UN-R155/156やISO/SAE 21434への対応の必要性は認識しながらも何から手を付けてよいのかわからない…そのようなお客様もぜひビューローベリタスにご相談ください。お客様のご要望に応じて最適なソシューションを提案いたします。