長年にわたり、中国の国内OEMは、コネクテッド機能からロボタクシーなど多岐にわたる領域において、技術革新と価格の両立の実現を最前線で進めてきました。その代表例として、中国で非常に人気の高い国内OEMのひとつであるBYDは、2025年モデルのSeagull EVを72,000元(9,900ドルまたは7,690ポンドに相当)から提供しています。BYDは現在、世界最大級のEVメーカーのひとつとなっていますが、この成功の大部分は中国市場での販売によるものであり、同地域の他のOEMとも共通する特徴です。
ただし、中国で成功を収めたBYDのようなOEMは現在、国際的な事業拡大計画を策定し、場合によっては実行しています。こうした計画により、消費者にとっては中国OEMが提供するより手ごろな価格帯のEVを購入する機会が増え、EV普及が進む可能性があります。一方で、一部の政府にとってこれらのOEMは、自国の自動車メーカーにとって強力な競争相手であるだけでなく、自国の国民、ネットワーク、インフラに対するセキュリティ上のリスクでもあります。
こうした懸念を受け、バイデン-ハリス政権は、中国やロシアを主な対象とする「懸念国」で生産されたコネクテッドカーや自動運転車のハードウェアとソフトウェアの輸入禁止を提案しています。本記事では、何が起きているのか、なぜそれが起きているのかを掘り下げながら、この提案の背景と理由について詳説するとともに、SBD North America のディレクターであるAlex Oyler がその影響についての洞察を提供します。また、禁止措置の実施に先立ち、対応策のベストプラクティスについて概説します。
何が起きているのか、なぜそれが起きているのか?
この提案の発端は、2024年2月下旬にバイデン大統領が米商務省(DoC)に命じたコネクテッドカー向けソフトウェアに関する調査にあります。同年3月に実施されたこの調査は、コネクテッドカーに使用される特定の技術に関連する国家安全保障上のリスクについて世論を調査することを目的としていました。この調査結果は、同年9月23日に発表された提案につながりました。提案された規則制定案告示(NPRM:Notice of Proposed Rulemaking)は、もしも提案通りに可決されれば、 「懸念される国からの特定の技術および特定の部品を搭載したコネクテッドカーの販売や輸入を禁止する」というものです。
DoCは、この提案により、このような国々からの特定のコネクティビティや自動運転システムを採用するコネクテッドカーの輸入や販売、ひいてはコネクティビティハードウェアの輸入が制限される可能性があることを強調しました。ただし、予期せぬ不要な混乱を最小限に抑えるため、小規模のOEMなど特定の関係者に例外的な適用免除を認めるという内容も含まれるとみられます。
NPRMは30日間の意見公募期間に入っており、バイデン-ハリス政権は最終規則の策定に向けて自動車業界の関係者から意見を求めています。同政権では、次期大統領が就任する2025年1月20日までに最終案をまとめることを目指しています。可決されれば、ソフトウエアに関する禁止事項は2027年モデルから、ハードウエアに関する禁止事項は2030年モデル(年式のない車両は2029年1月1日)から適用されることになります。
ホワイトハウスはこの禁止案の背景に、車両の動きを制御する様々なシステムの利用や、自動運転機能を実現するためのカメラやセンサーの利用など、新型車のコネクテッド化が進んでいることがあるとしています。またこうした進歩の一方で、コネクテッドカーから、乗員のデータや米国のインフラに関する詳細情報など、機密情報が収集され悪用される可能性があると警告しています。ホワイトハウスは、特定の場所や地域、重要なインフラに関する情報を収集する一部のハードウェアやソフトウェアが敵対するものの手に渡れば、インフラの運用が妨害されるだけでなく、コネクテッドカーがコントロールされる恐れがあると主張しています。
DoCはさらに、調査を通じて、中国やロシアといった国のコネクテッドカーに使用されている特定の技術が、米国のサプライチェーン内の技術を悪用して監視や破壊工作を行い、米国の国家安全保障を損なう可能性があると判断しました。この調査結果を受け、バイデン-ハリス政権は、米国のサプライチェーンをこうした脅威から保護し、強靭性を確保することを全体的な目的として、この提案を策定しました。
DoCの提案の潜在的な影響
SBD North AmericaのダイレクターAlex Oylerは、この提案が米国内外に広範に影響を及ぼし得ることを踏まえ、次のようにコメントしています。「米国の消費者のプライバシー侵害の可能性という点だけでなく、EVが米国の国家エネルギーインフラの重要な一部となった際には、重要なインフラの保護という観点においてもサイバーセキュリティ上の懸念があります。
施行にあたっては、特にソフトウエアのトレーサビリティにおいて、課題が生じるとみられ、OEMによるソフトウエア部品表(SBOM)技術の採用が最も重要となります。ほとんどの自動車メーカーのサイバーセキュリティチームは、海外のUNECE R155へ準拠するための多額の投資からようやく立ち直りつつあるところですが、今回の提案により新たに準拠に関連する投資の波に直面することになるでしょう。米国運輸省道路交通安全局(NHTSA)は、自動車サプライチェーンにおけるSBOM規格の採用を支援し、準拠への取り組みを効率化する(そして米国の消費者のコストを低く抑える)ことを優先する必要があります。」
次のステップ
米国、中国、そして世界中の自動車メーカーがこの禁止案に対応し、その要件に合わせて技術や車両ラインアップを変更する中で、OEMメーカーおよび消費者は、中国地域で生産される自動車用ハードウェアおよびソフトウェアの使用や統合によってもたらされる潜在的なサイバーセキュリティリスクについて認識を深めることになるでしょう。
上記のように、本記事では中国国内で生産されるコネクテッドカーやテクノロジーを禁止する商務省(DoC)の提案の範囲と背景について概説しましたが、このイニシアチブの背景にあるサイバーセキュリティの脅威は、世界中の自動車に影響を与え、OEM、サプライヤー、政府などに対策を促す多くの脅威の一つに過ぎません。SBD Automotiveのサイバーセキュリティのエキスパートはこうしたリスクの特定・評価を継続的に行っており、新たな攻撃手法やサイバー防御のベストプラクティスを「サイバーセキュリティ最新動向ガイド」として年2回発行しています。このレポートでは、市場に出回っている最新の車両に対する攻撃事例を数百に分類し、車両の他、バックエンドやスマートフォンアプリに対する最近の攻撃についても広範に紹介しています。
本書では、自動車のサイバーセキュリティに対する多様な脅威と脆弱性を分析し、認識を高めることを目的としており、自動車サイバーセキュリティにおけるインシデントレスポンス分析の重要性について概説するとともに、それらに対し推奨される防御策と緩和策についての洞察を提供します。また、新たなサイバーセキュリティの脅威をUNECE R155が提供する脆弱性リストと関連付け、システム開発者や経営幹部が、組織およびサプライチェーン全体でリスク管理をどのように適用すべきかについての洞察を得られるよう支援します。