TISAXⓇ – 自動車業界における情報セキュリティ標準の普及

2022-06-10

TISAX®とは

VDA（ドイツ自動車工業会：Verband der Automobilindustrie）-ISAは、ISO/IEC 27001/27002などの国際的なISMS規格に基づいた自動車用セキュリティの一連の要求事項であり、ENX協会（ENX協会：European Network Exchange Association）が欧州の自動車関連団体として、TISAX®の交換機構を提供し、全体のガバナンスに責任を負っています。 TISAX®の目標は、業界共通のセキュリティレベルを確立すること、また評価レベルの共通認識を確保し、それによってメーカー（OEM）とサプライヤーのコスト、労力、複雑さを軽減することとしています。図1にあるように、OEMとサプライヤーがプレイヤーとして参加し、共通の情報セキュリティ基準、基盤を活用し、その評価結果を公開しようという試みです。

図1 TISAX®制度の関連図（2022年4月26日開催セミナー資料より抜粋）

TISAX®の評価項目

TISAX®の評価の基準となるISA（情報セキュリティ評価カタログ）は、組織内の情報セキュリティの状態を判断するための自己評価、内部監査、そして第三者によるTISAX®審査に使用されます。特に注意すべきは、情報セキュリティ-Information Security、プロトタイプ（試作）保護-Prototype Protection、データ保護-Data Protectionです（図2・図3）。これらの基本的要求事項に加え、顧客固有の要求事項を満足する必要があります。評価シートは、ウエブサイトでエクセル形式によって無償で提供されています。

図2 VDA-ISAの評価区分（2022年4月26日開催セミナー資料より抜粋）

また、取り扱う製品の種別や顧客からの要求によって情報セキュリティのレベルが指定されるため、自社の情報セキュリティ管理状況も踏まえて、対応するレベルや詳細さの程度を決定する必要があります。

図-3 VDA-ISA基準 ‐ 情報保護のレベル（2022年4月26日開催セミナー資料より抜粋）

TISAX®は、3つの「評価レベル」（AL）で区別されています。評価レベルは、TISAX®監査プロバイダーが、どの程度の深さまでかを調べ、どのような監査手法を適用しなければならないかを定義するものです。よって、高い評価レベル＝「高い評価強度＋強化された手法が求められる」となります。

第三者監査について

ENXに承認された機関は、第三者として組織のシステム構築状況および運用状況を監査することになります。評価の基準は、自己評価と同様のVDA-ISAが用いられ、記録による証拠閲覧だけではなく、現地での監査（インタビューを含む）も必須です。ISO27001の認証を取得していることによる監査時間の合理化も一部認められています。評価は、各項目5段階で判定され、評価「３」の「確立されている」以上が合格となります（図4）。

図4 成熟度レベル（2022年4月26日開催セミナー資料より抜粋）

すべての項目の監査が終了し、指摘事項が改善された段階でENXへ報告、組織の情報が登録され、公開されます。組織が機密として取り扱う内容までは公開されませんので、ご安心ください。

ビューローベリタスはすでに監査サービスを提供していましたが、コロナ禍の影響により日本国内での審査が難しい時期が続いていました。しかし、2022年より、一定の条件をクリアすることにより、国内での日本人による審査サービスが可能となりました。TISAX®に関するお問い合わせ、認証のお申し込みをお待ちしております。

関連ページ：
自動車産業における情報セキュリティ対策 – TISAX®

システム認証事業本部水城学

【お問い合わせ】
ビューローベリタスジャパン(株)　システム認証事業本部
TEL：045-651-4784（代表）　FAX：045-641-4330
E-MAIL
お問い合わせフォーム

【ビューローベリタスのサービス】
自動車情報セキュリティ管理のためのTISAX®