CSMSとは
(監査で見られる「空気の有無」?)
CSMSは Cyber Security Management System(サイバーセキュリティ管理システム) の略で、UN-R155の文脈では「車両に関わるサイバー脅威のリスクを扱うための、組織的なプロセス・責任・ガバナンスを定めた“リスクベースの体系的アプローチ”」を指します。
サプライヤー視点で重要なのは、CSMSが“機能(暗号化等)”ではなく、運用の仕組み(体制・手順・証跡)だという点です。
なぜCSMSが「監査で見られる」のか
UN-R155は、メーカーが車両ライフサイクルを通じてサイバーセキュリティを管理できること(=CSMS)を示すことを求め、型式認証の前提としてCSMS適合(証明)を要求する、という整理で説明されることが多いです。
またCSMSは、開発・生産・生産後(運用)までをカバーし、リスクの特定・評価・処置、検証、監視・検知・対応などのプロセスを含むことが示されています。
「空気の有無」とは何か(監査で見られる“動いてる証拠”)
監査で怖いのは、文書があるのに「動いてない」と判断されることです。
CSMSの“空気” = 運用が回っている証拠 の例は次のとおりです。
サプライヤーが最小で整えるべき「CSMSに効く4点」
専任がいなくても、ここだけ整えると監査・照会が止まりにくくなります。
- 窓口(PSIRT) + 一次回答テンプレ(調査中+次回更新日)
- 対象範囲が切れる台帳(製品名・版数・構成の最低限)
- 証跡フォルダ(依頼原本/調査/回答書/提出履歴)
- 期限運用(SLA)(受領・一次・最終をざっくり決める)
FAQ:CSMSとは
UN-R155の文脈では、サイバー脅威に関するリスクを扱うための「組織的プロセス・責任・ガバナンス」を定めた管理システムです。
いいえ。暗号化などの機能そのものより、体制・手順・証跡・継続改善といった「運用が回る仕組み」が中心です。
規則の主語は主にOEM側ですが、OEMが説明責任を果たすために、監査や照会を通じてサプライヤーにも体制・証跡・期限運用が求められやすくなります。
PSIRT(脆弱性の受付・影響判断・対外回答)は、運用(生産後)での監視・対応に直結し、CSMSの一部として実務上セットで問われがちです。
監査で突っ込まれないための準備、できていますか?
OEM監査対応で「何を準備すべきか」「自社の今の運用で通るのか」を整理したい方は、無料のオンライン相談をご利用ください。