SDV化で広がる自動車“連鎖リスク”――「4か月復旧せず」アサヒGHD被害は対岸の火事なのか?
アサヒGHDを襲ったランサムウェアは、復旧まで4か月超を要する事態となった。常時接続が前提のSDV時代、ソフト比率4割に達した車と企業は、完全防御ではなく「被害前提型統治」を迫られている。
「被害前提型」企業統治への転換
サイバーセキュリティは、防御や保険の対象という認識を超え、企業統治の標準装備になりつつある。自動車業界では、SAEやISOを経て、UNECEのR155・R156に至る国際的な枠組みのなかで、完全防御ではなく
「被害を前提に、誰が何を判断するか」
を定める考え方が制度として整備されてきた。これらの規制は、サイバー攻撃を個別の技術課題として扱うのではない。車両の開発から運用までを含め、企業としてどのようにリスクを管理し、判断責任を果たすかを問う内容である。
もっとも、これらの制度が主に想定してきたのは、車両単体を中心とした管理だ。SDVの普及により、車はインフラや企業ネットワークと深く結びつく存在になった。リスクの所在は、車両の外側にも広がっている。一方で、その外部領域については、車両と同水準の統一的なルールや運用が、なお十分に整っていない。
今後の焦点は、攻撃を完全に防ぐことではない。被害が発生した場合に、事業や社会への影響をどこまで管理し、統治できるかに移りつつある。自動車業界は、車両単体についてはすでに「被害を前提とした統治」を制度として示してきた。SDVは、その射程を車両の外へと押し広げている。
この課題はSDVの成否にとどまらない。デジタル化を前提とする産業全体に共通するテーマになりつつある。