今回のイベント(Security Days Automoive)では、最新のサイバーセキュリティの動向として、主に次の3つのポイントが強調されていました。

(1) サプライチェーンのリスク
サプライチェーンという言葉には、2つの意味があります。

1. 製造部品の供給網
   部品を供給するサプライヤーがサイバー攻撃を受け、供給が止まると、最終製品の製造も止まってしまいます。また、製造企業がサプライヤーのネットワークを経由して攻撃を受けるリスクもあります。
2. ソフトウェアの供給網
   IoT機器に使われるソフトウェアは、多くのサプライヤーから提供されたソースコードで構成されています。その中に一つでも脆弱なソフトが含まれると攻撃対象となってしまいます。そのため、使用しているソフトウェアの安全性を常に把握・管理することが求められます。

これまでのように「点」で守るのではなく、全体を「線」や「面」としてとらえて脆弱性をなくすことが重要になっています。

(2) 監視の重要性
ネットワークや機器の状態を常時監視し、攻撃を早期に検知してインシデントを防ぐことが求められています。

従来は「安全なネットワークを構築すれば安心」と考えられていましたが、現在は攻撃手法が高度化し、新たな脆弱性が次々に発見され、狙われています。

IoTに使われるソフトウェアも同様であり、継続的な監視が不可欠です。その一環として、SBOM（ソフトウェア部品表）の作成・維持が法令で義務化されています。

つまり、時間軸を意識しながら常に最新のセキュリティ状態を保つことが必要です。

(3) トレーニングの必要性
ネットワークやシステムを作り、運用するのは最終的には「人」です。どんなに強固な仕組みを作っても、それを扱う人の意識が低ければリスクは残ります。

そのため、すべての人に対して 継続的なトレーニング を行い、意識を高め続けることが重要です。方法としては、動画教材やクイズなどのツールが活用されています。

まとめ
現在、サイバーセキュリティは大きな転換期を迎えています。従来の発想にとらわれず、サプライチェーン全体の管理・継続的な監視・人への教育といった観点から、新しい意識でセキュリティを考えていくことが不可欠です。