ISO/SAE 21434とは
(プロセス要求がなぜ重要か)
ISO/SAE 21434は、自動車(Road Vehicles)のサイバーセキュリティを「設計〜運用まで」一貫して扱うための国際標準です。
ポイントは“ツール”や“単発の診断”ではなく、再現性のあるプロセス(手順・役割・証跡)を要求していることにあります。
サプライヤー視点だと、ISO/SAE 21434は次の問いに答えるための「共通言語」だと捉えると実務に繋がります。
- その部品/ソフトは、どうやってサイバーリスクを減らしているのか?
- 脆弱性が出たら、どう検知し、影響を判断し、期限内に回答できるのか?
- 監査で“証跡(エビデンス)”として何を出せるのか?
なぜ「プロセス要求」が重要なのか
車両は出荷して終わりではありません。運用中も脆弱性が見つかり、更新(工場/現地/OTA等)や追加対応が発生します。つまり、必要なのは「今回たまたま対応できた」ではなく、次回も同じ品質で回せる仕組みです。
ISO/SAE 21434が求めるのは、たとえば次のような“回り続ける仕組み”です。
- リスク評価→対策方針→設計/実装→検証の流れがある
- どのバージョンに何が入っているか追える(対象範囲が切れる)
- 脆弱性照会に「結論→根拠→対応方針」で返せる
- 判断の根拠(証跡)が残っていて、監査で再現できる
OEM監査で見られるのは、裏を返すと「属人化していないか」「期限内に返せる運用か」です。
サプライヤーに“降りてくる”実務(OEM監査の観点)
ISO/SAE 21434を背景に、サプライヤー側で現実に求められやすいのは次の3つです。
体制
窓口、役割分担、承認、エスカレーション
期限運用
受領確認、一次回答、最終回答(SLAの考え方)
証跡
判断根拠(SBOM/部品表、設定、試験結果、変更履歴など)
とくに「影響なし」を返す場合でも、根拠が残らない回答は監査で崩れやすいため、最小限でも“証跡の参照”を残す設計が重要です。
兼務体制でも最低限そろえるべき「最小セット」
専任が置けないTier2〜Tier4でも、まずここまで整えると止まりにくくなります。
- PSIRT窓口(共有メール等)+一次回答テンプレ
- 対象範囲台帳(製品名・版数・出荷範囲/ExcelでOK)
- 証跡の置き場所(依頼原本・調査メモ・回答書・提出履歴)
- 社内の目標時間(受領/一次/最終をざっくり決める)
FAQ:ISO/SAE 21434とは
自動車のサイバーセキュリティを、設計から運用まで一貫して扱うための国際標準です。単発のテストではなく、再現性のあるプロセス(体制・手順・証跡)を重視します。
法律ではなく標準です。ただし、OEMの要求や監査項目の背景として参照され、サプライヤーにも体制・証跡・期限運用の整備が求められることがあります。
一般に、UN-R155は規制(要求枠組み)としてCSMS等の運用を求め、ISO/SAE 21434はそれを実務に落とすためのプロセス(サイバーセキュリティ工学の進め方)を整理した標準、という関係で理解されることが多いです。
PSIRT窓口、一次回答テンプレ、対象範囲(版数)台帳、証跡の保管・参照ルール、社内の目標時間(SLAの考え方)から着手すると破綻しにくいです。
関係があります。運用中の脆弱性対応や照会対応を“回し続ける仕組み”が重要になるため、PSIRT(窓口・手順・証跡)が監査上の重要ポイントになりやすいです。
ISO/SAE 21434対応、自社に合った進め方を整理しませんか?
ISO/SAE 21434対応の要点整理(OEM監査で見られる体制・証跡・期限運用)を、自社の状況に合わせて整理したい方は、まずはご相談ください。