大手流通企業が受けたサイバー攻撃により、サプライチェーン全体へ深刻な影響が及びました。2025年10月の事案は業界をまたぎ、取引先の事業継続性までも揺るがしています。
そして多層的なサプライチェーンを持つ自動車業界では1社の脆弱性が全体へ波及するリスクがさらに高く、中小企業を狙う攻撃の増加も課題です。
本コラムでは自動車産業でのインシデント状況とともに、「自工会/部工会・サイバーセキュリティガイドライン」のうち「情報資産の管理（機器）」と「社内接続ルール」について解説します。

自動車産業に広がるセキュリティインシデント…近年の発生状況をチェック

企業を取り巻くサイバーセキュリティ上の脅威が年々と高まっています。世界的に見ても2025年初頭からランサムウェア攻撃が多発しており、いつ国内企業が狙われてもおかしくない状況です。これはもちろん、自動車産業も例外ではありません。すでに多くの企業がサイバー攻撃被害に遭ってきています。

一例を挙げると、販売子会社で発生した不正アクセス事件では、最大310万件の顧客情報が流出しています。ほかにも、サイバー攻撃の影響で多数の工場が一時的に生産停止状態に追い込まれたり、ランサムウェアにより国内全工場が停止したりといった重大なインシデントが発生しています。このような状況の下、企業ごとのセキュリティ対策には限界があることから、自動車業界全体で統一してセキュリティ対策への取り組みが必要不可欠であると考えられるようになりました。

公表されている国内事例

年	企業名	インシデント内容	影響
2019	トヨタ販売子会社	不正アクセス	顧客情報最大310万件流出した可能性
2020	ホンダ	サイバー攻撃	世界9工場が一時停止
2022	小島プレス工業	ランサムウェア	トヨタ国内全工場停止（14工場28ライン）
2022	デンソー （ドイツ法人）	ハッカー集団「Pandora」による攻撃	データ漏えいの可能性
2023	自動車メーカー （非公開）	インフォテインメントシステムへの電圧フォールト注入攻撃	ルートアクセス権限の奪取、個人情報漏えい

「自工会/部工会・サイバーセキュリティガイドライン」の概要とチェックシート

深刻化するサイバー攻撃の脅威に対し、2020年3月、日本自動車工業会（JAMA）と日本自動車部品工業会（JAPIA）が共同で 自工会/部工会・サイバーセキュリティガイドライン を策定しました。このガイドラインは「自動車産業固有のサイバーセキュリティリスクを考慮した対策フレームワークや業界共通の自己評価基準を明示することで、自動車産業全体のサイバーセキュリティ対策のレベルアップや対策レベルの効率的な点検を推進することを目的^※」として、サプライチェーン全体でリスクを管理する共通のルールを整備するために策定されました。

法的な拘束力はないものの、事実上の業界標準といえ、メーカーが取引先を選定する際にこのガイドラインに準拠していることを重視する傾向が強まっています。そのため、中小企業にとってこのガイドラインに準拠することは取引を継続するための条件になりつつあります。

なお、このガイドラインの構成は、オフィスIT環境を対象範囲とし、将来的には工場や販売店等にも拡張予定とされています。24の「ラベル（カテゴリ）」があり、37の「要求事項」と153の「達成条件」によって構成され、最低限必要な項目であるレベル1から順に進めることで企業規模に応じた対策が進められるようになっています。

ラベル	内容	レベル分け
方針	セキュリティ方針の策定	レベル1～2
機密情報を扱うルール	機密情報の取り扱いルール	レベル1～2
法令順守	情報セキュリティ関連法の教育	レベル1～2
体制（平時）	セキュリティ責任者の設置	レベル1～2
体制（事故時） 事故時の手順	インシデント対応手順	レベル1～3
日常の教育	マルウェア・標的型メール訓練	レベル1～3
アクセス権	異動時の権限変更ルール	レベル1～2
情報資産の管理（情報） 情報資産の管理（機器）	機器・情報の台帳管理	レベル1～3
通信制御	ネットワーク監視・遮断	レベル2
バックアップ・復元（リストア）	データ復元体制	レベル1～2

さらに、自動車メーカーやサプライチェーンを構成する企業には、サイバーセキュリティガイドラインに基づいて自己評価チェックシートを作成し、提出することが求められています。評価レベルはレベル1が最低限の対策（中小企業向け）、レベル2が標準的な対策（中小企業向け）、レベル3が高度な対策（大企業・メーカー向け）になっており、企業は自社の状況に応じて目標レベルを選択し、達成状況を評価する必要があります。

チェックシートのイメージ（自動車産業 セキュリティチェックシート V2.3）

「情報資産の管理（機器）」や「社内接続ルール」がなぜ重要なのか？

本コラムでは特に、サイバーセキュリティガイドラインのラベル「11 情報資産の管理（機器）」、「15 社内接続ルール」に注目して対策の内容を見ていきます。

この対策を進めるために最も重要なことは、現在、利用している機器が何であるのかを把握することです。なぜ重要かというと、ネットワークの中に「存在を把握していない機器」があった場合、いかに高額で高度な情報資産に対するセキュリティ対策ツールを導入していたとしても、リスクが残ってしまうからです。

「存在を把握していない機器」とは管理外の機器であり、その状態を知ることはできません。例えば、認めていないソフトウェアが利用されている場合、OSなどが最新ではない場合など、リスクがあったとしても把握できません。もちろん、業務用機器の設定変更、業務利用に必須なソフトウェアのインストールにも対応することはできません。

「こうした機器がネットワーク内に存在していても、システムを利用できなければ問題ないのではないか？」と考える方もいるかもしれません。しかし、今のサイバー攻撃はこのような脆弱な部分を狙ってくるものです。ターゲットとなり感染してしまった場合、この機器を橋頭保として（足場のように使って）攻撃者は侵攻してしまいます。

そのため、このガイドラインにおいても「機器の把握」と「台帳の作成」こそが、段階的に進めていく上でも最初に実施する必要がある重要なポイントです。具体的には下表にあるNo.59、60、62、80が該当しています。

ラベル	NO	レベル	達成条件	達成基準
11 情報資産の管理（機器）	59	Lv1	重要度に応じた情報機器、OS、ソフトウェアの管理ルールを定めている	【規則】 導入、設置、ネットワーク接続、セキュリティパッチ適用等のルールを含む管理ルールを定めていること
	60	Lv1	情報機器、OS、ソフトウェアの情報（バージョン情報、管理者、管理部門、設置場所等）について、一覧を作成している	【規則】 バージョン情報、管理者、管理部門、設置場所等の管理項目を含む情報機器、OS、ソフトウェアの一覧を作成すること
	62	Lv1	情報資産（機器）は重要度に応じた管理ルールに沿って管理している	【規則】 No59に定義した管理ルールに沿って管理を実施すること。不備・違反があれば是正を行うこと 【頻度】 1回／年 以上
15 社内接続ルール	80	Lv3	許可された機器以外は社内ネットワークに接続できないよう、システムで制限している	【規則】 許可された機器以外の接続を検知・遮断する仕組みを導入すること 【対象】 社内ネットワークに接続する機器

しかし、実態として情報機器を完全に把握している企業が多くないのも事実です。現在の企業ネットワークは、社員がどこからでもインターネットに接続しやすい構造になっている場合が多いためです。

業務利用機器の接続ルールづくりは前提として必要ですが、それだけでは不十分です。違反機器への対処を並行して行うことで、ようやく対策の効果が最大化されます。また、情報機器はソフトウェアを含め常に状態が変化するために、常に最新の情報でなくてはなりません。このように情報資産を把握し、接続を制限するためのツールの導入などを検討することが対策の第一歩となるのではないでしょうか。

まとめ

今回は、「自工会/部工会・サイバーセキュリティガイドライン」でまず対策が必要となる、「情報資産の管理（機器）」と「社内接続ルール」に関する項目について、対策方法と合わせてご紹介しました。

自社に求められるセキュリティレベルを確保するうえで、避けて通れない項目ですので、早めに対策を講じ、セキュリティ強度を高めていきましょう。

関連サービス

• 未登録PC&モバイル端末 不正アクセス検知・遮断システム L2Blocker
• PC情報管理クラウドサービス Survey Eyes

---