入門解説
UN-R155とは
(サプライヤーに降りてくる苦労を理解するために)
UN-R155は、車両のサイバーセキュリティに関する国連(UNECE/WP.29)由来の規則で、ざっくり言うと 「メーカーは車両のサイバーリスクを継続的に管理できる体制(CSMS)を持ち、設計〜運用まで回し続けなければならない」 という要求です。
ポイントは“製品の一点検査”ではなく、運用を含むマネジメント(仕組み)が問われることです。
UN-R155がサプライヤーに効いてくる理由
規則そのものの主語は主に車両メーカー(OEM)側ですが、OEMはCSMSの説明責任を負うため、部品・ソフトを供給するサプライヤーにも次のような要求が降りてきます。
- 「脆弱性が出たら、影響有無と根拠を期限内に返して」
- 「PSIRT(窓口・手順・責任者)を整備して」
- 「SBOM/部品表を提出して(または照会に答えられるようにして)」
- 「監査で“証跡(エビデンス)”を出して」
- 「インシデント時の連絡体制・初動・復旧方針を示して」
つまりUN-R155は、サプライヤー視点では “監査と照会が増える規則” として体感されがちです。
サプライヤーがまず整えるべき「最小セット」
兼務体制でも、ここだけ押さえると“止まりにくく”なります。
PSIRT最小体制
- 窓口(共有メール等)
- 一次回答テンプレ(調査中+次回更新日)
- 役割(受付/技術評価/対外回答/承認)
対象範囲が分かる台帳
- 製品名・版数・出荷範囲
- ソフト構成(Excelでも可)
証跡の置き場所と型
- 依頼原本/調査メモ/回答書/提出履歴を同じ場所に集約
- 「結論→根拠→対応方針→証跡」の回答書の型
期限(SLA)運用
- 受領確認・一次回答・最終回答の目標時間を社内で決める(厳密でなくてOK)
よくある誤解(短く整理)
- UN-R155=“ペネトレーションテストをやればOK” ではない
- UN-R155=“OEMだけの話” でもない(実務はサプライチェーンに波及する)
- 「影響なし」は 根拠(証跡) がないと監査で崩れる
FAQ:UN-R155とは何ですか?
Q1. UN-R155とは何ですか?
車両のサイバーリスクを継続的に管理する仕組み(CSMS)をメーカーに求める規則です。設計だけでなく運用まで含めた体制が問われます。
Q2. UN-R155はサプライヤーにも適用されますか?
規則の直接の対象は主にOEM側ですが、OEMの説明責任のために、監査・照会・証跡提出などの形でサプライヤーへ要求が波及します。
Q3. UN-R155対応でサプライヤーが最初にやるべきことは?
PSIRTの最小体制(窓口・一次回答テンプレ・役割)、対象範囲が分かる台帳、証跡の管理、期限(SLA)運用を先に整えるのが近道です。
Q4. UN-R155とPSIRTは関係ありますか?
あります。脆弱性対応・インシデント対応を“運用として回せる”ことが重要になるため、PSIRTの整備は実務上の重要ポイントです。
UN-R155対応、どこから手をつけるべきか迷っていませんか?
「OEMからの要求事項が難解で困っている」「自社の体制でどこまで対応すべきか整理したい」という方は、無料のオンライン相談をご利用ください。