自動車産業に要求される情報セキュリティTISAX®の本質

TISAXはサプライチェーンのための調達基準

TISAX®とは、Trusted Information Security Assessment Exchangeの頭文字をとったものです。自動車産業における情報セキュリティ基準を定めており、EU地区から日本国内に対する調達基準にも適用され始めています。VDA（Verband der Automobilindustrie：ドイツ自動車工業会）が中心となり、調達などの情報交換を行うENX協会が定めています。

企業組織における情報セキュリティでは、2000年初頭から「情報の保全」といった視点で多くの企業で整備されており、金融商品取引法対象組織では内部統制（IT全般統制）として、上場に必須のリスクマネジメントとなっています。

日本ではその国民性から情報管理に甘い面もありましたが、近年では多くの企業組織で管理強化の認識が高まっています。製造業も例外でなく、特にEV（Electric Vehicle：電気自動車）などで各国が凌ぎを削る自動車産業では、必須のマネジメントです。

サービス詳細「TISAX®自動車業界における情報セキュリティ管理」

ISO27001基準情報セキュリティ

企業組織における情報管理は、英国規格BS7799を基点とするISO27001が有名であり、2005年の初版発行以来、国内マネジメントの標準規格となっています。特に上場企業の内部統制では公平な調達が求められるため、委託先の選定条件としている組織が多いです。

ISO27001は構築モチベーションとして、組織の目的に関連した内外の課題、関連するステークホルダー、法的要求など、企業ERM（Enterprise Risk Management：統合型リスク管理）を想定します。従って、構築する“相手”は広く社会であり、審査登録機関による認証は、取得を公的機関で公開しています。

ISO27001とTISAX^®の違い

TISAX®要求事項は、既存ISO27001をベースにしており、ISO27001認証取得組織は理解が容易ではありますが、大きな違いは構築の“相手”です。ISO27001は自組織ERMを見据えた内向き管理であることに対し、TISAX®はサプライチェーンの調達基準であるため、“相手”は発注を行う委託元になります。

従って、自組織の情報管理能力強化が目的ではなく、委託元に対して情報管理の安定性を証明することが求められます。

TISAX®要求事項の例

出典：VDA/ISA

TISAX^Ⓡの参加者

TISAX®参加者は、委託元企業（EU圏内のOEM）、グローバルに広がる委託先企業です。自動車産業では調達が構造化され、Tier1/2/3などの階層に分かれていますが、これらに納品するすべての組織ということになります。

問題は自動車に関連した車体、パワートレインなど直接部品産業のみではないということです。EV化が進み、自動車産業は幅広い部品を必要としています。電池、ハーネスなどはもちろんのこと、パワー半導体やCAN関連部品、ナビゲーションなど広大な分野に及びます。

Exchangeとは

EU地区OEMの究極の興味は、①製造情報、設計情報など自社発注の機密が守られること、②安定した調達が可能であること、です。ISO27001などの基準情報管理は企業ERMが目的ですが、TISAX®唯一の興味は「委託先が安心できること」であり、これを実現しているのがExchangeです。

TISAX®では、VDA/ISAの要求事項に従って情報管理の仕組みを構築します。構築後は評価レベルに従い、ビューローベリタスなどの審査機関が第三者評価を行い、成功裏に通過した場合は、ENX協会へ登録されます。ここは公的組織ではなく、あくまでOEMに関連したプライベートネットワークです。

Exchangeでは、TISAX®構築企業が公開相手を選択し、自組織の安全性を主張することができます。ISO27001などの公的認証とは明らかに異なる点です。

最大の特徴「評価目的」

TISAX®最大の特徴は、「評価目的」です。TISAX®は取引先企業（現時点ではEU地区OEM）からの要求により、仕組みを構築します。この際に構築指針となるのが、「評価目的」です。委託元からの発注を情報管理の視点でみると、レベルは多岐にわたります。先端EVや自動運転に係る機密度の高いもの、一般部品や量産品もあるため、情報セキュリティ強度を一様にするわけにはいきません。量産品製造などでは、情報保全より安定調達が重要視されます。

これらの評価をOEM側からの要求としてカテゴリ分けしたものが、「評価目的」です。従って、組織がTISAX®に沿った仕組みを構築する場合、まず念頭に置くべき事項が「評価目的」となります。

2024年の評価目的改訂

2024年4月、ENX協会はこの「評価目的」クラスの改定を行いました。これまでの委託元の設計、ノウハウなどの情報管理を目的としたもの（Confidential）に加え、組織の可用性を目的とするもの（High availability）などが追加されています。

JIT（ジャストインタイム）と情報セキュリティの安定性

2022年3月、トヨタグループの主要企業、小島プレス社がサイバー攻撃にあい、全社生産がストップしました。これはトヨタグループ全域に及び、主要工場が一定期間停止に至りました。これはどういったことを意味しているのでしょうか。
現在、情報セキュリティ環境は混沌としており、各国はサイバー攻撃を軍事技術の一つとして位置づけ、軍レベルの攻撃が続いています。

一方、トヨタ生産方式を有名としたJIT（ジャストインタイム）生産方式は、多くのOEMで当たり前の仕組みとなっていますが、在庫をもたず適時ラインサイドへ納品するということは、ITシステム抜きでは考えられず、システムの安定性が欠かせません。組織の可用性は、サーバーなどのIT機器だけでは実現できず、マネジメントシステムのバックグラウンドが必須で、これが評価目的（availability）です。発注側の興味は、「貴社では、サイバーなどの攻撃があっても、当社への納品を継続できるのでしょうか」であり、これを証明しなければなりません。

今後の見通し

ウクライナ侵攻に端を発し、国際間紛争に巻き込まれたITネットワークは混沌としています。しかしこれはある程度予防できるもの、組織にはITレジリエンシー（resiliency）が要求されます。現にトヨタグループの例があり、欧州OEMは強い興味を持っています。

クラウド、AI等、さまざまなプロセスがITに依存し、サプライチェーンではインシデントに対する回復力も要求されます。今後、TISAX®マネジメントはさらに注目度が上がると思われます。

EU地区（フランス）に本社があるビューローベリタスでは、入手情報が豊富で既に多くの審査知見を保持しており、グローバル認証も充実しています。TISAX®認証取得について、ぜひお問い合わせください。

システム認証事業本部　山口 大輔