【2025年版】日本の自動車産業におけるサイバーセキュリティ動向

日本の自動車産業において、「安全」という言葉の意味が根底から変わろうとしています。これまでの「安全」とは、衝突時の人の保護や事故の予防といった物理的側面を中心としたものでした。しかし、コネクテッドカーやソフトウェア・デファインド・ビークル（SDV）の本格的な普及を背景に、デジタル領域での信頼性が新たな「安全」の中核となりつつあります。現在のクルマは、1億行を超えるソフトウェアコードによって制御され、常時ネットワークに接続された“走るIT機器”とも呼ばれています。この状況において、サイバーセキュリティはもはや情報システム部門の専門領域にとどまる問題ではありません。車両制御の乗っ取りによる人命へのリスク、大規模なリコール対応、さらには企業ブランドへの甚大な信頼喪失に直結する、経営リスクそのものとなっています。さらに、脅威は一台の車両にとどまらず、数百社に及ぶサプライヤーが複雑に関与するサプライチェーン全体に波及する構造的リスクです。日本の自動車業界はサイバーセキュリティ課題に対して個社の対応だけでなく、業界全体でセキュリティ体制の底上げに取り組んでいます。

その中心にあるのが、以下の2つの柱です：

1. 業界横断での連携と標準化

2. サプライチェーン全体への包括的支援

これらは単独の施策ではなく、相互に連動しながら日本のモビリティ産業の“新しい安全保障”を構築する枠組みと言えます。ここでは、これら2つの柱を軸に、日本の自動車業界が進める最新の取り組みについて説明します。

爆発的に成長する市場と現実化する脅威

日本の自動車サイバーセキュリティ市場は、かつてない成長を遂げています。Imarcの市場調査によると、2024年に2億1,900万ドル規模であった市場は、2033年までには7億9,500万ドルに達すると予測されており、その年平均成長率（CAGR）は15.4%に達する見込みです。市場が急拡大する理由の一つは、サイバー攻撃がもはや想定上のリスクではなく、事業に影響を及ぼす脅威として顕在化していることにあります。2022年、トヨタ自動車の一次サプライヤーである小島プレス工業がランサムウェア攻撃を受けて国内14工場が全面停止した事件はサプライチェーンの脆弱性が事業継続に直結することを業界全体につきつけました。また、2022年にはデンソーのドイツ法人がハッカー集団「Pandora」の攻撃を受けるなど、グローバルなサプライチェーンが常に脅威に晒されています。警察庁の報告によれば、2022年の国内ランサムウェア被害230件のうち、製造業が32.6%と最多を占めました。警察庁の報告は、日本の基幹産業の一つである自動車産業もサイバー攻撃の標的となり得ることを強く示しています。深刻な被害を未然に防ぎ、事業継続性を確保するためにも今こそ体系的で堅牢なセキュリティ対策の構築が求められています。

政府の強力な後押しと法規制

こうした脅威に対し、日本政府も法規制の側面から対応を強化しています。その中核となるのが、国連の自動車基準調和世界フォーラム（WP29）で採択されたサイバーセキュリティ法規（UN-R155）です。日本ではこのUN-R155が迅速に国内法制化され、2022年7月からOTA（無線アップデート）対応の新型車に、2024年7月からは継続生産される全てのOTA対応車両に義務化されました。この法規への準拠は、自動車の設計から廃棄に至るまでのセキュリティ対策を定めた国際標準規格「ISO/SAE 21434」への対応と密接に関連しています。これにより、自動車メーカー（OEM）は自社のみならず、部品を供給するサプライヤーが開発プロセス全体でセキュリティを確保する管理体制（CSMS）を適切に構築・運用しているかを審査し、証明する責任を負うことになります。これはセキュリティ対策が個社の問題ではなく、サプライチェーン全体で取り組むべき必須要件となったことを意味しています。

業界の具体的なアクション：連携・支援

個社の努力だけでは対応しきれないという共通認識のもと、業界は具体的な協調行動を加速させています。

1. 業界横断での連携と標準化

個社の努力だけでは対応しきれない複雑なサイバー脅威に対し、日本の自動車業界は「競争ではなく協調」を基本として業界での連携と標準化を加速させています。その中心にあるのが2021年2月に設立された「一般社団法人日本自動車ISAC（J-Auto-ISAC）」です。J-Auto-ISACは、設立からわずか2年で会員企業が100社を超え、現在もその数は増え続けています。加盟企業は、トヨタ、ホンダ、日産といった主要自動車メーカー（OEM）とデンソーやアイシンといった大手サプライヤー、さらには車載ソフトウェアや半導体を手がけるIT企業まで、業界を越えて多岐にわたります。

その活動の中で最も重要なところは脅威情報の共有です。J-Auto-ISACは国内外から最新の脆弱性情報や攻撃事例を収集・分析し、会員企業に迅速に共有するハブとして機能しています。特に、個社で契約すれば年間数億円に上ることもある高価な脆弱性情報を共同で購入・共有することで、経営体力の限られる中小企業の負担を大幅に軽減し、サプライチェーン全体のセキュリティ対応能力の向上に貢献しています。また、サイバー脅威に対応するため、理事会と運営委員会の下に「技術委員会」「情報収集・分析センター（SOC）」「サポートセンター」といった専門組織を設置しています。技術委員会では最新の攻撃手法の分析や防御技術の研究開発を推進し、SOCはリアルタイムでの脅威監視とインシデント対応を担当しています。

国際連携も積極的で、2024年には米国のAuto-ISACと情報共有に関する協力覚書（MOU）を締結しました。これにより、国境を越えて仕掛けられるサイバー攻撃に対し、グローバルな視点での迅速な情報共有と共同対処が可能となりました。さらに、J-Auto-ISACは業界標準の策定にも深く関与しています。特に、ソフトウェアの構成要素を可視化するソフトウェア部品表（SBOM）の標準化を推進しており、これにより車両に搭載される複雑なソフトウェアの透明性を高め、脆弱性の早期発見と迅速な対応を可能にする管理体制の構築を目指しています。これは、将来のソフトウェア・アップデート管理（SUMS）においても不可欠な基盤となります。

このように、J-Auto-ISACは単なる情報共有だけでなく、技術研究、インシデント対応支援、標準化、国際連携といった多岐にわたる活動を通じて日本の自動車業界におけるサイバーセキュリティの中核的な役割を果たし、持続可能なモビリティ社会の実現に貢献しています。

2. サプライチェーン全体への支援

2022年の小島プレス工業へのサイバー攻撃がトヨタの国内全工場を停止させた事件は、「サプライチェーンの脆弱性がOEMの事業継続に直結する」という事実を業界全体に強く認識させました。この事件をきっかけに、日本の自動車業界はサプライチェーン全体のセキュリティレベルを底上げするための、包括的な支援体制の構築を急いでいます。

その基盤となるのが、日本自動車工業会（JAMA）と日本自動車部品工業会（JAPIA）が連携して策定した「自動車産業サイバーセキュリティガイドライン」です。このガイドラインは、経済産業省が推進する「サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）」を自動車産業向けに具体化したものであり、サプライチェーン全体でのリスク管理と対策の標準化を目指すものです。

このガイドラインの最大の特徴は完成車メーカーだけでなく、サプライヤーから小規模な事業者まで、数千社に及ぶサプライチェーンの全階層を対象としている点です。ガイドラインでは各企業が遵守すべきセキュリティ対策項目が具体的に示されており、企業はこれを用いて自社のセキュリティレベルを自己評価し、継続的な改善を図ることが求められます。このガイドラインにより、中小企業の意識と対応を引き上げてサプライチェーン全体の対応力を高めることを狙いとしています。また、ガイドラインを示すだけでなく、その実効性を高めるための支援策も講じられています。特に中小企業に対してはガイドラインの理解を深めるための教育プログラムや具体的な対策を導入するための技術的な支援が提供されています。これにより、単なる「努力目標」で終わらせることなく、実効性のある対策へと繋げています。

さらに、経済産業省はサプライチェーン全体のセキュリティ対策を客観的に可視化・評価するための新たな制度設計を進めており、2026年度中の制度開始を目指しています。この制度が導入されれば、OEMは取引先のセキュリティ対策状況を定量的に把握し、リスクの高い企業に対して改善を促すといったサプライチェーン管理が可能になります。これは、UN-R155で求められるサプライヤーの管理責任を果たす上でも重要な仕組みとなるでしょう。

このように、サプライチェーンのセキュリティ強化は、単なる技術的な課題ではありません。それは、企業間の信頼関係の構築や取引関係の維持にも直結する事業の根幹です。業界全体での連携と支援体制の強化は、日本の自動車産業がグローバルな競争力を維持し、未来のモビリティ社会を支えるための不可欠な基盤と言えるでしょう。

これからのサイバーセキュリティは？

コネクテッドカーやSDVの進展に伴い、自動車産業におけるサイバーセキュリティはオンライン上の課題だけでなく、産業全体の信頼性と競争力を支える基盤となりました。政府の法整備、業界団体の標準化、J-Auto-ISACを中心とした情報共有体制、そして中小企業支援を含むサプライチェーン全体の底上げまで、日本の自動車業界は多層的かつ戦略的に動き始めています。今後は、セキュリティが製品価値として評価される時代に向けて、守るだけでなく「信頼される可視性」をどう確保するかが、各企業の成長とブランドを左右する鍵となるでしょう。

アウトクリプトは、自動車業界に特化したサイバーセキュリティの専門集団として、設計・開発から生産、運用、そして廃棄に至るまで、車両ライフサイクル全体に対応したセキュリティ体制の構築を支援しています。UN-R155／ISO 21434への準拠を前提とし、ソフトウェアの脆弱性診断やSBOM管理など、次世代モビリティに求められる実効性ある対策を提供しています。詳細につきましては、お気軽にお問い合わせください。