昨日、フォリー・アンド・ランダー法律事務所(そう、当社です)の自動車産業チームは、ミシガン州デトロイトで開催された北米国際自動車ショーにて年次イベントを主催しました。狭く限定的な話題を避け、2017年にコネクテッドカーがどのような展開を見せるかを予測することで、2017年を力強くスタートさせました。
本日のセッションは、デロイト・トウシュLLPの自動車サイバーセキュリティリーダー、ジョセフ・クウェデリス氏から始まりました。自動車業界のリスクプロファイルが拡大し続けていることは言うまでもありません。たった1台の車両においてさえ、企業は自社のエンタープライズシステム、車両システム、インフォテインメントセンター内の消費者の接続システム(およびあらゆる接続デバイス)、そしてこれら全てのシステムと周辺環境との相互接続性を懸念する必要があります。 接続が増えるごとに、リスクは直線的ではなく指数関数的に増大します。ではどうすべきか?クウェデリス氏は企業に対し「安全を確保し、警戒を怠らず、回復力を備える」ことを提言しています。 言い換えれば、自社においてこれら全てのシステムを保護する体制は整っているか。整っている場合、設定したら放置するのか、それとも維持管理と監視を継続するのか。そして最後に、問題発生時(それは避けられない)にどう対処する計画があるのか。
クウェデリス氏は、業界を問わずサイバー攻撃の主要な動機の一つが知的財産窃盗であると指摘した。そこで次の登壇者であるパヴァン ・アガルワル氏とチャンリー・ハウエル氏は、企業の知的財産を保護する方法について議論した。最初に提起された課題の一つは「知的財産の所有権は誰にあるのか」であった。車両と制御システムが高度に統合され、共同開発されるケースも多いため、企業は関係構築の初期段階でこの問題を解決することが最善策である。 これにより、サイバーセキュリティ保護の構築責任の所在を明確化できる。もう一つの課題は複雑な規制枠組みだ。読者の皆様はNHTSA(米国道路交通安全局)が業界を規制していることをご存知だろう。しかしサイバーセキュリティに関しては、FCC(連邦通信委員会)やFTC(連邦取引委員会)の存在も忘れてはならない。これらの機関も、貴社が遵守すべき規制を定めている。
さらに、サイバーセキュリティを考える際、今日この瞬間から確実に安全でなければなりません。しかし、5年後、10年後、あるいはそれ以降を見据えていないなら、すでに遅れを取っているのです。2006年当時のサイバーセキュリティの懸念を考えてみてください。プログラムやコンピューター、携帯電話はどのように保護されていたでしょうか?10年前、iPhoneが登場しました。 現在、パスワードは生体認証へと進化しています。現在のシステムはこれに対応できているでしょうか?2021年のパスワードとは何でしょうか?顔認証、眼球スキャナーなどは、多くの人が認識している以上に現実味を帯びています。ビジネスは個人用・企業用車両のインフォテインメントシステムを通じて行われるようになるのでしょうか?その情報はどのように保存され、アクセスされ、保護されるのでしょうか?
Stout Risius Ross の Neil Steinkamp は、自動車部品サプライヤーが直面する複数のリスクを特定しました。NHTSA の新たな注目が最初のリスクでした。サイバーセキュリティだけでなく、サプライヤー自体も直接的な対象となっています。彼は、サプライヤーがリスクを特定するために新たなアプローチを取ることを推奨しました。テクノロジーは急速に進化しているため、多くの企業は、自社がどのようなリスクにさらされているのか把握することすらできていません。自社のデータを確認して、未知のリスクの特定を始めましょう。 NHTSA データ、保証データ、販売データ、業界データなど、あらゆるデータを収集、分析し、自社では認識すらしていなかったリスクを発見してください。例えば、衝突回避ブレーキに関しては、リスク評価の一環として、追突事故の発生件数を把握することが重要です。追突事故が多いほど、この技術のリスクは高くなります。同様に、この問題に関する NHTSA への苦情件数も把握すべきです。このデータは公開されています。
JLTスペシャリティのキラン・ナイー氏は、あらゆる理由による自動車リコールのペースとコストが加速していると指摘した。これらのリコールは通常、同一製品の当初流通コストの5倍(5倍!)の費用がかかる。NHTSAが対象範囲をハードウェアからソフトウェアへ拡大するにつれ、リコールのリスクとコストはさらに高まる一方だ。
