「OEM から UN-R155 / ISO 21434 への対応を求められているが、Tier サプライヤーとして何をどこまでやれば良いか分からない」――中堅自動車部品メーカーの開発部門責任者から多い相談だ。 UN-R155 は CSMS(Cyber Security Management System)の認証取得を OEM に義務化し、その達成のため Tier サプライヤーの体制整備が連鎖的に求められている。本稿は中堅 Tier 1/2 の対応を整理する。
目次
- UN-R155 と ISO/IEC 21434 の関係
- OEM 義務化と Tier サプライヤーへの波及
- CSMS / SUMS の主要要件
- TARA(脅威分析・リスクアセスメント)の実施
- 中堅サプライヤーの対応スケジュール
- OEM 監査・KBA / VCA 監査への対応
- サプライチェーン全体での情報共有
- よくある質問(FAQ)
UN-R155 と ISO/IEC 21434 の関係
| 規格 | 発行主体 | 概要 |
|---|---|---|
| UN-R155 | UNECE WP.29 | 車両のサイバーセキュリティと CSMS 認証要件(型式認証義務) |
| UN-R156 | UNECE WP.29 | ソフトウェアアップデートと SUMS 認証要件 |
| ISO/IEC 21434 | ISO/IEC | 道路車両のサイバーセキュリティエンジニアリング標準 |
OEM 義務化と Tier サプライヤーへの波及
UN-R155 は日本・EU・韓国等の批准国で、新型認証は 2022 年 7 月、継続生産は 2024 年 7 月から適用された。OEM が CSMS 認証を維持するためには、サプライヤーチェーン全体での情報共有・脅威対応が必要となる。
| OEM 側要求 | Tier サプライヤー側対応 |
|---|---|
| サプライチェーンの CSMS 適合確認 | 自社 CSMS の文書化、第三者監査受審 |
| 脆弱性・脅威情報の通知 | 24-72 時間以内の報告体制 |
| TARA 結果の共有 | 自社製品の TARA 実施・更新 |
| インシデント対応連携 | CSIRT 体制、対応 SLA 合意 |
| ソフトウェア構成情報 | SBOM 提供、SUMS 連携 |
CSMS / SUMS の主要要件
| 領域 | CSMS 要件 | SUMS 要件 |
|---|---|---|
| ガバナンス | サイバーセキュリティ方針、責任分担 | アップデート方針、責任分担 |
| リスク管理 | TARA 実施、対策決定 | アップデートのリスク評価 |
| 設計開発 | セキュリティ設計、コード品質 | アップデートメカニズム設計 |
| サプライヤー管理 | サプライヤー選定・評価 | サプライヤーアップデート連携 |
| 運用・監視 | 脅威監視、CSIRT、インシデント対応 | アップデート配信・追跡 |
| 継続改善 | 監査、レビュー、是正 | 効果検証、レビュー |
TARA(脅威分析・リスクアセスメント)の実施
ISO/IEC 21434 に基づく TARA の実施手順:
| ステップ | 概要 |
|---|---|
| 1. アセット特定 | 保護対象資産(データ、機能、通信路)の洗い出し |
| 2. 脅威シナリオ分析 | STRIDE 等で脅威シナリオを特定 |
| 3. 影響評価 | Safety / Financial / Operational / Privacy(SFOP) |
| 4. 攻撃可能性評価 | 攻撃時間、専門知識、機器、機会、知識の 5 軸 |
| 5. リスク決定 | 影響 × 攻撃可能性のマトリクス |
| 6. リスク対応 | 回避 / 軽減 / 共有 / 受容の決定 |
中堅サプライヤーの対応スケジュール
| フェーズ | 期間目安 | 主なアクション |
|---|---|---|
| 現状ギャップ分析 | 2-3 ヶ月 | OEM 要求と社内体制の差分 |
| CSMS 構築 | 4-6 ヶ月 | 規程・手順整備、組織設置 |
| TARA 実施 | 3-6 ヶ月 | 主要製品ライン全件 |
| 開発プロセス組込 | 3-4 ヶ月 | V 字モデルへの統合、ツール導入 |
| CSIRT 体制構築 | 2-3 ヶ月 | 24/7 対応、OEM 連携手順 |
| 監査対応準備 | 1-2 ヶ月 | 模擬監査、是正 |
| 第三者認証 | 2-4 ヶ月 | 認証機関による監査 |
OEM 監査・KBA / VCA 監査への対応
OEM 監査は通常、書面審査 + 現地監査 1-3 日。KBA(ドイツ連邦自動車局)/ VCA(英国車両認証局)等の認証機関による直接監査もある。
| 監査タイプ | 期間 | 重点領域 |
|---|---|---|
| OEM 二者監査 | 1-3 日 | 製品別 CSMS 適合、脅威対応実績 |
| 認証機関監査 | 2-5 日 | CSMS 全体、SUMS、文書整合性 |
| サーベイランス監査 | 1-2 日 / 年 | 継続適合、是正対応 |
サプライチェーン全体での情報共有
業界全体での情報共有として Auto-ISAC(米国)、JASPAR(日本)等との連携が推奨される。中堅サプライヤーでは:
- JASPAR への加盟検討
- TLP(Traffic Light Protocol)に基づく情報共有
- 脆弱性情報の OEM への 24-72 時間以内通知
- インシデント時の業界共有(合意範囲内で)
- セキュリティ監査結果の OEM 開示(NDA 下)
「規制改訂への対応が遅れている、専門家の助けが欲しい」
業界規制対応の現状診断と移行ロードマップ、外部監査連携を提供します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
よくある質問(FAQ)
Q. Tier 2 / Tier 3 サプライヤーでも CSMS 第三者認証が必要か? A. 規格上は OEM の責任範囲だが、OEM 側がサプライチェーン全体に CSMS 適合を要求するケースが増加。Tier 2 でも自主的に第三者認証取得を進める動きがある。
Q. ISO/IEC 21434 と ISO/IEC 27001 は重複するか? A. 一部重複するが目的が異なる。21434 は車両特化のセキュリティエンジニアリング、27001 は組織全体の ISMS。両方取得する場合は統合運用が効率的。
Q. TARA は製品 1 件ずつ実施する必要があるか? A. プラットフォーム共通要素は共通 TARA、個別製品は差分 TARA で運用する手法が一般的。
Q. 監査費用の目安は? A. 中堅サプライヤー規模で初回認証 300-600 万、継続サーベイランス 100-200 万 / 年が相場。事前準備コンサル費は別途。
参考資料
- UNECE「UN Regulation No. 155 - Cyber security and cyber security management system」
- ISO「ISO/IEC 21434:2021 Road vehicles — Cybersecurity engineering」
- JASPAR「自動車サイバーセキュリティガイドライン」関連公開資料
- Auto-ISAC「Best Practices」公開資料
中堅自動車サプライヤーの UN-R155 / ISO/IEC 21434 対応、CSMS 構築、TARA 実施支援、OEM 監査対応は GXO のコンプライアンス対応サービスで対応可能です。
GXO実務追記: システム開発・DX投資で発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、要件定義、費用、開発体制、ベンダー選定、保守運用を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- [ ] 発注前に目的、対象業務、利用者、現行課題を1枚に整理したか
- [ ] 必須要件、将来要件、今回はやらない要件を分けたか
- [ ] 見積比較で、開発費だけでなく保守費、運用費、追加改修費を見たか
- [ ] ベンダー選定で、体制、実績、品質管理、セキュリティ、引継ぎ条件を確認したか
- [ ] 検収条件を機能、性能、セキュリティ、ドキュメントで定義したか
- [ ] リリース後3ヶ月の改善運用と責任分界を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
UN-R155 / ISO 21434 自動車 SecOps サプライヤー対応 2026|中堅 Tier 1/2 の CSMS 運用と監査対応を自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。