監査やコンサルティング等に加えて、リスクアドバイザリーも事業の大きな柱の1つとして展開するデロイト トーマツ グループ。そのリスクアドバイザリー事業における注力分野が、自動車業界のセキュリティだ。

デロイト トーマツ サイバーセキュリティ先端研究所 主席研究員 泊輝幸氏

デロイト トーマツ グループには、全世界約3500名のサイバーセキュリティサービス専任者がいるそうだが、このうち100名以上が自動車セキュリティの専任者とのこと。「これくらい自動車セキュリティをやっている会社は、他に見当たらないのでは」とデロイト トーマツ サイバーセキュリティ先端研究所 主席研究員の泊輝幸氏は話した。

デロイト トーマツの自動車セキュリティ事業の体制。米独日が中心になっている

自動車のセキュリティというと、クルマそのもののセキュリティがまず思い浮かぶ。しかし、デロイト トーマツがカバーする領域はそれだけではない。

通常のITシステムから工場の制御系システム、そしてテレマティクス等の顧客情報サービスまで、自動車会社のサイバーセキュリティ全般をカバーしているのが特徴だという。

デロイト トーマツがカバーする自動車セキュリティの領域

すでに140万台リコールのセキュリティインシデントもこのように、「全方位」（泊氏）で、自動車セキュリティを手掛けるデロイト トーマツだが、この日、重点的に説明されたのはクルマそのもののセキュリティについてだ。

クルマがコネクテッド化していく中で、「プライバシーの侵害や、自動車の乗っ取り・遠隔操作、それによる人命被害などのリスクが想定される」と主任研究員の高橋宏之氏は説明した。

デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員 高橋宏之氏

具体的には、以下のようなセキュリティリスクの可能性があるという。実際すでにいくつものセキュリティインシデントが報告されており、140万台のリコールにつながるなど、“実害”も出始めている。

想定される自動車のセキュリティリスク

そこで米欧日では、自動車セキュリティの標準化の取り組みなどが活発化。例えば米国では自動車セキュリティに関する法案も議会に提出されている。

「SPY Car ACT」法案で、ハッキングをリアルタイムで検知・報告できる技術の搭載や、ドライバーが自分のクルマのセキュリティ状況を確認できる「サイバーダッシュボード」の設置などを求める内容になっているという。

自動車関連のセキュリティインシデント

IoT時代、自動車関連メーカーにとって、サイバーセキュリティは否応なく最重要課題の1つとならざるを得ないが、高橋氏がその勘所として強調したのは2つ。

まずは、自動車開発プロセスにおけるセキュリティガバナンスを強化することだ。「自動車を見る視点はいろいろあるが、ガバナンス視点とは、説明責任を果たすための視点」と高橋氏。

重大なリスクである自動車セキュリティについて、しっかり説明責任を果たせるよう、報告・評価・モニタリングなどをはじめとするガバナンス体制を強化する必要がある。