TISAX VDA-ISA Ver6.0へのアップデートに伴う変更点

TISAX審査におけるVDA-ISA ver6.0へのアップデートに伴う変更点について、インシデント対応、 可用性 、OTセキュリティの3点に焦点を当てて解説します。

要点

• TISAXとはTrusted Information Security Assessment Exchangeという、自動車業界のサプライチェーンを対象とした情報セキュリティの審査基準である。
• TISAX Ver6.0へのアップデートに伴う変更点はインシデント対応、可用性、OTセキュリティに整理できる。
• インシデント対応では、早期の検知、組織内、および影響を受ける第三者への適切かつ適時な情報伝達が求められている。
• 可用性では、サイバー攻撃を受けたことを想定し、攻撃後のITサービスの効果的かつ適時な復旧確保が求められている。
• これまで情報資産を処理するITシステムやITサービスに限定されていたTISAX審査対象領域に、OTシステムが含まれることとなった。

1. 「TISAX」の概要

TISAXとは、Trusted Information Security Assessment Exchangeという、自動車業界のサプライチェーンを対象とした情報セキュリティの審査基準になります。2017年にドイツ自動車工業会（以下、「VDA」）と、European Network Exchange（以下、「ENX」）のもと、確立されました。

自動車業界は、機密情報を頻繁にやり取りする非常に広範囲なサプライネットワークを持っており、サプライヤー側のセキュリティ上の脆弱（ぜいじゃく）性から情報漏えいをはじめとするインシデントが発生した場合、OEMをはじめとしたサプライチェーン全体に影響を及ぼす可能性があります。また、近年デジタル化が進むことによる情報伝達量の増加、さらにサイバー攻撃の対象も拡大してきています。そのため、自動車業界ではサプライヤーのセキュリティレベルの確認が、重要事項として取り上げられています。

このような背景から、VDAとENXは業界での標準化された情報セキュリティの審査基準（以下、「TISAX」）を作成し、各サプライヤーはTISAX認証を取得することで、各OEMからのセキュリティチェックの手間の軽減が、可能になりました。そして現在、各OEMは、サプライヤーとの契約にTISAX認証取得を必須要件として組み込むことが、一般化しつつあります。

2. VDA-ISA Ver6.0へのアップデートについて

このVDAが定めたTISAXにおける要求項目／コントロールのバージョンアップが、行われました。それに伴い、2024年4月1日以降すべてのTISAX審査は新バージョンであるISA ver6.0に従って行われます。そのため、今後審査受審を予定しているサプライヤーは、ISA ver6.0に準拠する必要があります。

今回のISA ver6.0へのアップデートによって追加された要求項目／コントロールは、サイバー攻撃を防ぐだけでなく、サイバー攻撃に対してタイムリーな復旧・回復を確保すること、そしてサイバー攻撃だけでなくパンデミック、紛争といった不測の事態においても、主要なビジネスが継続して稼働し続けることを目的としていることがうかがえます。

本稿では、ISA ver6.0での変更点について、「インシデント対応」、「可用性」、「OTセキュリティ」の3項目に焦点を当て、着目されている背景や対応に向けて考慮すべきポイントを解説します。

2-1. インシデント対応

サイバー攻撃を完全に回避することはできないという前提に立ち、攻撃による影響を最小限に抑えるため、攻撃を早期に検知し、組織内、および影響を受けるサプライヤー・顧客に対して適切かつ適時に情報を伝達することが、求められています。

改訂されたコントロール1.6.1では、セキュリティイベントに関して、報告すべき事象の定義、報告の経路および手段の確立、報告の演習実施などが新たに要求されています。なお、ここでは自組織内のセキュリティイベントのみならず、サプライヤーといった業務において関連する第三者におけるセキュリティイベントも、報告の対象として含まれています。

また、新規追加となったコントロール1.6.2では、報告されたイベントを適切かつ遅延なく処理することが、要求されています。TISAX審査においては、組織が効果的なインシデント対応プロセスを構築できていることを、示す必要があります。具体的には、セキュリティイベントの分類、優先順位付け、処理責任、トップマネージメントまでのエスカレーションパスの定義、イベントに対しての適切な対応、イベント対応後の継続的な改善活動などが考えられます。

そして、同じく新規追加となったコントロール1.6.3では、BCPなど復旧対応計画の作成が、要求されています。復旧計画では、生命・健康といった倫理的事項やコアビジネスプロセスなどを勘案した優先順位、復旧活動におけるチーム体制、責任と権限、復旧活動の方針や手順などを定義し、マネジメント層にコミットメントされる必要があります。また、計画を作成するだけでなく、計画の妥当性について定期的にシミュレーションし、再評価することも同様に求められています。

2-2. 可用性

サイバー攻撃を受けたことを想定し、攻撃後のITサービスの効果的かつタイムリーな復旧確保が求められています。そこからVer6.0では、以下2つのコントロールが新規追加となっています。

コントロール5.2.8では、重要なITサービス、およびそれらを構成するITシステムを特定すること、およびこのITサービスの継続と回復を実現するための継続性計画の策定が、要求されています。ITサービスやシステムについて、サイバー攻撃だけではなく、システム障害や自然災害等が発生することを想定して、業務への影響を最小限に抑えられる対策・復旧計画を構築する必要があります。具体的には、主要な通信手段が利用できない場合の代替通信戦略、データバックアップの保管方法などが挙げられます。継続性計画は、目標復旧時間を考慮して構築する必要があり、この計画に沿った外部サービスプロバイダーとの適切なSLA締結も、必要になってきます。そして、継続性計画は関連する利害関係者に周知徹底するとともに、定期的な再評価も必要となっています。

また、コントロール5.2.9では、ITシステムのバックアップおよびリカバリーに関する方針策定が要求されています。サイバー攻撃やハードウェア・ソフトウェア障害などのインシデントによってITサービスが利用できなくなることを想定し、バックアップの機密性、整合性はもとより、物理的・地理的冗長性を勘案した可用性を確保するための適切な措置などが、要求されています。そして、具体的な目標復旧時点、復旧時間、人員リソースを考慮したリカバリー方針を作成し、定期的なテストを実施することが、要求されています。

2-3. OTセキュリティ

ver6.0 においては、これまで情報資産を処理するITシステムやITサービスに限定されていた審査対象領域に、OTシステムが含まれることとなりました。これはOTシステムもIT システムと同じように扱われ、セキュリティ管理の対象となることを意味します。

生産設備はサプライチェーンのセキュリティにとって重要な考慮事項ですが、一般的にOTシステムはITシステム同レベルのセキュリティ保護が取られておらず、より攻撃の影響を受けやすいと言えます。

そのため、組織はOTシステムとITシステムとのセキュリティに関するギャップを低減するために、OTシステムのセキュリティに、より多く投資する必要があります。技術的なセキュリティ対応はもちろんのこと、セキュリティに関する規程・マニュアルの作成、プロセスの整備・運用、従業員への教育などを進めることで、OTシステムとITシステムとのセキュリティに関する効果的な統合を実現する必要があります。

なお、TISAX ISAシートにおいて、OTシステムに関連する要求項目については「ISA/IEC 62443-2-1（OT cybersecurity - 産業用オートメーションおよび制御システムのサイバーセキュリティマネジメントシステム<CSMS>の規格 -）」のコントロールと、マッピングされています。Ver6.0以前にTISAX認証を取得し、次回審査をVer6.0で受審する予定のサプライヤーは、どの要求項目にOTシステムが対象として含まれるのかを理解しておくことも重要です。

その他OTシステムに限定されていませんが、組織内でのソフトウェア管理体制を構築することが、新たにコントロール1.3.4として要求されています。組織内で適切に評価、承認されたソフトウェアのみが組織内で使用されていることを保証することが、求められています。

なお、自工会、部工会が策定する「サイバーセキュリティガイドライン」も、2024年8月28日にVer2.2が公開されました。その中で工場領域（設備分野）は、次年度以降の対象範囲と明記されています。自動車業界全体として、OTシステムのセキュリティ対策の必要性が、高まっていると考えます。

【共同執筆者】
EY新日本有限責任監査法人　Technology Risk事業部　
シニアマネージャー　植木 貴弘