モバイル機械向けソリューション
サイバーセキュリティ:OEMが今すぐ行動を起こさなければならない理由
EUサイバーレジリエンス法(Cyber Resilience Act: CRA)は、モバイル機械類のコンプライアンス要件を根本的に変えるものです。当社のブログシリーズ第3部「安全、セキュリティ & AI」では、メーカーがモバイル機器を保護し、制御下でコストを抑制する方法を示しています。
この課題は現実のものです。2027年12月11日より、EUサイバーレジリエンス法(CRA)は、新たにEU市場に投入されるデジタル部品を備えた全製品に対して完全に義務付けられます。すでに2026年6月11日から、適合性評価の期限が短縮され、2026年9月11日からセキュリティインシデントに関する報告義務の期限が短縮されます。オフハイウェイメーカーは、開発から運用、解体に至るまでの製品ライフサイクル全体のサイバーセキュリティを確保する必要があります。この目的のために、OEMはサイバーセキュリティと機能安全を統合していますが、依然として量産中のすべてのレガシーシステムを変換する義務もあります。当社のブログシリーズ第3部「安全、セキュリティ & AI」は、サイバーセキュリティと、OEMがコンプライアンス要件を競争上の優位性に変える方法に焦点を当てています。
モバイル機械類にとってのCRAの意味
CRAの要件に従って、サイバーセキュリティは、製品ライフサイクル全体を通じて、開発開始からセキュリティ・バイ・デザインのアプローチにおいて考慮されなければなりません。これには下記が含まれす。
- 脅威分析とリスクアセスメント(Threat Analysis and Risk Assessment)
- セキュリティ対策の証明/セキュリティ対策の証拠
- 運用中のセキュリティ監視とインシデント管理
モバイル機械類の場合、高度にネットワーク化され、過酷な環境で動作し、時にはオープンアーキテクチャーを持つことがあるため、これは複雑な取り組みであり、すべての要因が攻撃対象領域を広げます。EUサイバーレジリエンス法(CRA)の遵守を怠った場合、高額な罰金(全世界の年間売上高の最大2%)、重大な保険上の損害、法的責任、評判の毀損、ならびに市場アクセス権の喪失(例:CEマークの欠如による)といったリスクが生じます。簡単に言えば、EU域内市場では、CRAに適合した機械のみを販売することが認められています。したがって、主な問題は次のとおりです。 限られたリソースしか持たないOEMは、コストが爆発的に上昇したり、EUで機械を販売するのを妨げられたりすることなく、セキュリティコンプライアンスを達成するにはどうしたらよいか。
保証されたセキュリティコンプライアンスを共に達成
BODASにより、ボッシュ レックスロスは、OEMが複雑な規制要件を満たせるようにサポートする包括的なエコシステムを提供します。基盤となるのは、実績のあるセキュリティプロセスおよび、ボッシュ レックスロスがオフハイウェイでの豊富な経験を踏まえてモバイル機械類に移行した自動車分野のボッシュのテクノロジーです。非常に重要な点は、モジュラーソリューション、製品、サポートを提供するBODASの全製品が、ISO 21434に基づいており、セキュリティ設計から実装、脆弱性やインシデント管理を含む解体措置までのライフサイクル全体をカバーしているということです。
一貫性、透明性、未来保証型:自動車分野で実績のあるボッシュのソリューションとプロセスにより、モバイル機械類においてもCRA準拠を確実に保証します。(グラフィック:ボッシュ レックスロス AG)
1.方法論的基礎:セキュリティ・エンジニアリング・プロセス
セキュリティ・バイ・デザインのアプローチの一環として、OEMは、構想・生産から運用(CE認証など)までの製品ライフサイクル全体を通じてサイバーセキュリティを実証する必要があります。明確なセキュリティプロセスがなければ、これはほとんど不可能です。
ソリューションアプローチ:ボッシュ レックスロスをパートナーとして、自動車分野において、ボッシュが確立したセキュリティ・エンジニアリング・プロセスはOEMにとって有益であり、BODASエコシステムにおいても確固たる基盤として活用されています。これには、開発・生産・運用に関する明確なガイドライン、使用する製品の適合性(コントローラ、テレマティクスユニット、または支援機能)の文書化ならびに安全とセキュリティの一貫性のあるライフサイクルモデルへの統合が含まれます。
2.プロセス導入:リスクの特定、評価、保護
実装段階では、定義されたセキュリティプロセスが実行されます。リスクアセスメントは、この段階においてだけでなく、製品のライフサイクル全体を通じて重要な役割を果たします。脅威分析 & リスクアセスメント(TARA)の枠組みの中で、攻撃対象領域が体系的に特定され、評価されます。加えて、OEMは特定されたセキュリティリスクを許容可能なレベルまで低減するための具体的な対策を定義しなければなりません。さらに、使用される各ソフトウェアコンポーネントについて、ソフトウェア部品表(SBOM)を通じて透明性のある証拠の提供が義務付けられています。すべてのセキュリティ機能は、標準の進化に対応できるよう、最新技術であり、更新可能なものでなければなりません。
ソリューションアプローチ: ボッシュ レックスロスがすべてのBODASソフトウェアに対してARAおよびSBOMの義務を一貫して実施することで、OEMの導入負担が軽減します。これにより、OEMは容易に独自の証明義務を果たし、インシデント管理のための効果的な対策を導き出し、文書化することができます。セキュアブート、セキュアロギング、暗号化、デジタル署名などの最先端のセキュリティ機能は、BODASエコシステムで標準であり、さらに継続的に開発されています。さらに、ボッシュ レックスロスは、すぐに使用できるAPI、すぐに使用できるツールチェーン、およびCRAソフトウェア移行サポートを提供することにより、OEMがCRAセキュリティの適合性をより効率的に達成できるようにします。
3.セキュリティ監視 – 運用におけるセキュリティの確保
導入が済めば、それで終わりでしょうか?決してそうではありません。導入後も、セキュリティは継続的な課題です。メーカーは、システムを監視し、セキュリティインシデントを検出して評価し、それらを顧客や当局に報告する義務があります。セキュリティ監視は、製品のライフサイクルを通じてセキュリティプロセスの中で最も長い段階となります。OEMは、潜在的な脆弱性に対して常に警戒を怠ってはなりません。これらはいつでも発生する可能性があるため、シームレスな脆弱性管理も必須です。セキュリティインシデントが発生した場合、セキュリティギャップを迅速に、機械のダウンタイムを発生させずに閉じる必要があります。
ソリューションアプローチ:運用段階においても、セキュリティに関してOEMはBODASエコシステムの製品品質を完全に頼りにすることができます。ボッシュのインシデント監視システムは、セキュリティインシデントを評価・報告するための構造化されたプロセスを備えた実績のあるインフラストラクチャをまとめ、インシデント管理、脆弱性ハンドリング、24時間365日の監視など、すぐに使用できるすべてのCRA要件を網羅しています。ボッシュのインシデント対応チームは、すべてのレックスロスシステムを常時監視し、アラームを分析し、その結果を公開されている脆弱性データベースと比較します。BODASの無線更新(OTA)サービスを利用することで、OEMは、必要に応じて個々の機器や定義されたフリートセグメントに対し、効率的かつ安全に、追跡可能な形でパッチや更新プログラムを転送することが可能です。重要な付加価値:非専有のオーバー ジ エア(FOTA)は、サードパーティのIoTソリューションプロバイダー(BODAS OTAパートナー)とも連携します。
効率的かつ安全に、協力して始めましょう
セキュリティに関しては、早めに対応することが効果的です。自社の車両群全体に対して規制上のセキュリティを適切に確立し、実施する企業は、EU域内市場への参入を確実にし、それによって明確な競争上の優位性を獲得します。良い知らせは、OEMが、複雑な要件に単独で取り組む必要がないということです。ボッシュ レックスロスと共に、セキュリティコンプライアンスの BODASエコシステムおよび自動車分野において実績のあるボッシュのプロセスにより、ISO21434に準拠したセキュリティライフサイクルのすべてのプロジェクト段階を網羅でき、セキュリティのエンジニアリングと導入から監視とインシデント管理に至るまで、労力を大幅に削減できます。
しかし、それは一つの側面に過ぎません。なぜなら、ボッシュ レックスロスとBODASエコシステムを共に使用することで、モバイル機械類メーカーは、完全に将来に備えた車両の基盤を築いているからです。実績のあるモジュラー型BODASプラットフォームは、多くのメリットを提供します。必要に応じて新機能を統合することが可能です。また、全ての機械シリーズを効率的に保護できるよう拡張性があり、市場における革新的な機械を迅速・効率的・安全に評価するために容易にアクセスできます。
コンプライアンスを、信頼、市場での地位、将来のセキュリティの手段としても認識していますか?myBODASコミュニティの専門家およびメンバーと今すぐお会いになり、知識の優位性を獲得するか、安全&セキュリティコンサルティングに関するお問い合わせは直接当社までお問い合わせください。
» プレミアムサポート & コンサルタントBODAS
本ブログシリーズ「モバイル作業機械のサイバーセキュリティ、機能安全、AI」の全記事:
01.サイバーセキュリティ、機能安全、AI:オフハイウェイメーカーにとって今重要なこと
02.機能安全:メーカーがEU-MVO、CRA、AI法の要件を達成する方法
03.サイバーセキュリティ:メーカーが今すぐ行動を起こす必要がある理由
イヴ・ダッセは、ボッシュ レックスロスのモバイルソリューション事業部において、ボッシュのサイバーセキュリティ専門家およびソフトウェア開発のエクセレンスオーナーを務めています。彼はオフハイウェイ機械および自動車向けのシステム開発において豊富な経験を有しています。
万景蘇は、ボッシュ レックスロスのモバイルソリューション事業部のソフトウェア班長です。彼女は、オフハイウェイ機械向けの機能安全、組込みソフトウェア、およびツールソフトウェア開発において豊富な経験を有しています。
マルティン・ジュコラは、ボッシュ レックスロスのモバイルエレクトロニクス販売担当部長です。彼は22年以上ボッシュ グループに所属しており、19年以上モバイルエレクトロニクスの分野で働いてきました。マルティンとそのチームは、モバイル作業機械のデジタルトランスフォーメーションを支援するBODASベースのソリューションを求めるモバイル顧客に対する、グローバルな窓口としての役割を担っています。