「自動車部品メーカーのサイバーセキュリティ対応でお悩みではありませんか？」

業界では今、自工会（日本自動車工業会）が定めるサイバーセキュリティチェックシートへの対応が求められています。これは自動車業界全体のセキュリティレベル向上を目指す重要な取り組みであり、取引継続の条件となるケースも増えています。

しかし「何から始めればいいのか分からない」という声をよく耳にします。初めて対応する方にとっては、専門用語や技術的な要件の多さに戸惑うことも少なくありません。

ここでは、チェックシートの概要と、実際にどう進めるべきかを説明します。読み終えれば、すぐに実践できる知識が得られますので、ぜひご覧ください。

1. 自工会チェックシートとは

自工会（日本自動車工業会）が策定する「サイバーセキュリティチェックシート」は、自動車業界におけるサイバーセキュリティ対策の標準化と強化を目的としたツールです。

自動車メーカーとサプライヤー間でセキュリティ要件を共有し、業界全体のセキュリティレベル向上を図るための重要な指標となっています。

このチェックシートは、国際規格UN-R155（自動車サイバーセキュリティ規則）やISO/SAE 21434（自動車サイバーセキュリティエンジニアリング）に対応した内容となっており、グローバルな自動車業界の標準に準拠しています。

2. 自工会チェックシートの入手方法

自工会チェックシートは、以下のサイトで入手可能です。

JAMA – 一般社団法人日本自動車工業会

「付録：チェックシート」にある「チェックシート V2.2(日本語版) 」をクリックすると、エクセルファイルがダウンロードされます。

また、チェックシートの現在の最新バージョンは、2024年8月28日公開のV2.2です。
随時アップデートされるので、JAMAの公式ウェブサイトでご確認ください。

3. チェックシートの提出要件

(1)チェックシートの提出先

チェックシートの提出先は主に以下となります。

• 一次サプライヤー：直接取引のある自動車メーカーへ提出
• 二次・三次サプライヤー：一次サプライヤーへ提出

基本的に自動車のサプライチェーンに関わる全ての企業が対象となりますが、企業規模や提供部品によって要求レベルが異なります。

(2)チェックシート提出のタイミング

チェックシートの提出頻度は一般的に以下のようになっています。

定期提出

・年1回（通常は年度更新時）
・半年に1回（セキュリティ要件が厳しい場合）

臨時提出

・新規取引開始時
・重大なセキュリティインシデント発生後
・製品・サービスの大幅な変更時
・組織体制の大きな変更時

(3)提出に必要な書類

チェックシートの提出に必要な書類は以下の通りです。

・チェックシート本体：所定のフォーマットに回答を記入
・証跡資料：各対策の実施を証明する文書（要求された場合）
・改善計画書：未達項目がある場合の対応計画
・セキュリティポリシー：社内のセキュリティ方針文書

3. チェックシートの構成

チェックシートは以下の主要分野に分かれています。

• 共通：1 方針、2 機密情報を扱うルール、3 法令遵守、4 体制 (平時)、5 体制 (事故時)、6 事故時の手順、7 日常の教育
• 守る対象を明確にし、リスクを特定する（特定）：8 他社との情報セキュリティ要件、9 アクセス権、10 情報資産の管理 (情報)、11 情報資産の管理 (機器)、12 リスク対応、13 取引内容・手段の把握、14 外部への接続状況の把握、15 社内接続ルール
• 攻撃を防ぐ対策実施(防御)：16 物理セキュリティ、17 通信制御、18 認証・認可、19 パッチやアップデート適用、20 データ保護、21 オフィスツール関連
• 攻撃されたことを迅速に知るために(検知)：22 マルウェア対策、23 不正アクセスの検知
• 検知被害の対応と修復(対応・復旧)：24 バックアップ・復元 (リストア)

4. レベルの分類と評価基準

チェックシートの項目には、企業のセキュリティ対策の成熟度を測るための評価レベルが設けられています。

これにより企業は、自社の現状を客観的に把握し、必要な改善点を明確にすることができます。

1. レベル1：最低限の対応レベル
2. レベル2：業界標準レベル
3. レベル3：先進的なセキュリティ対策レベル

(1)レベル1：最低限の対応レベル

• 中小企業でも実施できる基本的な対策が中心
• 例：ウイルス対策ソフトの導入、基本的なパスワード管理、データのバックアップなど
• 主に一般的な部品メーカーに求められる最低限のレベル

(2)レベル2：業界標準レベル

• 業界標準として広く採用されている対策が含まれる
• 例：定期的なセキュリティ研修、アクセス権限の詳細管理、インシデント対応手順の整備など
• 一般部品の高機能版や安全性に関わる部品のメーカーに求められるレベル

(3)レベル3：先進的なセキュリティ対策レベル

• 先進的で高度な対策が求められる
• 例：リアルタイム監視システム、高度な暗号化、専門チームによるセキュリティ運用など
• 自動運転やコネクテッド機能など、高度なデジタル技術を扱う部品メーカーに求められるレベル

5. 効果的なチェックシート対応のための3つのコツ

自工会チェックシートへの、効果的な対応を実現するためのコツをご紹介します。

小さく始めて段階的に拡大する

・まず現状を正確に把握する
・リスクの高い項目から優先的に対応する
・無理のない計画で徐々にレベルアップしていく

全社で取り組む体制をつくる

・社長や役員の理解と支援を得る
・誰が何をするか明確に役割分担する
・IT部門だけでなく全部門が参加する仕組みをつくる

形だけでなく実質的な対策を行う

・書類上の対応だけでなく実際の業務に組み込む
・定期的に効果を確認して改善する
・日常業務の一部として継続的に運用する

自工会チェックシートの対応でお困りですか？

当社ではチェックシートの現状把握、対策案の提案（他社の事例もご提供）、コンサルティングサービスを提供しています。詳しくはこちらのページをご覧ください。

まとめ

自工会（日本自動車工業会）のサイバーセキュリティチェックシートは、自動車業界全体のセキュリティレベル向上を目的とした重要なツールです。

チェックシートは日本自動車工業会ウェブサイト、自動車部品工業会、または取引先自動車メーカーから入手可能です。

提出先は基本的にサプライチェーン内の直接取引先であり、定期的（年1回または半年に1回）、あるいは取引開始時や重大なセキュリティインシデント発生後などに提出が必要です。

チェックシートは「共通」「守る対象を明確にし、リスクを特定する（特定）」「攻撃を防ぐ対策実施(防御)」「攻撃されたことを迅速に知るために(検知)」「検知被害の対応と修復(対応・復旧)」の分野に分かれており、セキュリティ対策のレベルは以下の3段階に分類されています

• レベル1（最低限）：中小企業向けの基本的対策
• レベル2（標準）：業界標準として広く採用されている対策
• レベル3（先進的）：高度なデジタル技術を扱う企業向けの先進的対策

効果的な対応のためのコツとしては、①小さく始めて段階的に拡大する、②全社で取り組む体制をつくる、③形だけでなく実質的な対策を行う、の3点が挙げられています。

チェックシートの対応でお困りごとがあれば、当社のコンサルティングサービスにお気軽にご相談ください。