自工会・部工会ガイドライン × SCS評価制度 ― 自動車サプライヤーが押さえるべき対応関係
SCS評価制度の全体像については SCS評価制度 対策ガイド もあわせてご覧ください。
自動車業界では、JAMA(日本自動車工業会)とJAPIA(日本自動車部品工業会)が共同で策定した「自動車産業サイバーセキュリティガイドライン(自工会/部工会ガイドライン)」が、2020年版から運用されています。Tier1〜Tier3のサプライヤーは、このガイドラインに基づくレベル評価への対応が事実上の取引条件となっています。
そこに2027年2〜3月頃の運用開始が予定されているSCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)が加わると、自動車部品メーカーは「自工会レベル × SCS★」という二重対応を迫られる構図になります。本記事では、両制度の関係を整理し、効率的な対応戦略を解説します。
自工会・部工会ガイドラインの構成
レベル1〜5の評価体系
自工会・部工会ガイドラインは、企業のサイバーセキュリティ対策をレベル1〜5の5段階で評価します。
| レベル | 想定 | 概要 |
|---|---|---|
| Lv1 | 全企業の最低ライン | 基本的なセキュリティ対策の実施 |
| Lv2 | 標準対応 | 体系的な管理策と運用記録 |
| Lv3 | より高度な管理 | 包括的なガバナンスと検知体制 |
| Lv4 | 重要サプライヤー水準 | リスクベースアプローチと高度な技術対策 |
| Lv5 | 最高水準 | 国際規格相当の管理体制 |
完成車メーカー(OEM)の調達基準では、Tier1サプライヤーにLv3以上、重要部品サプライヤーにLv4が求められるなど、役割によって要求水準が異なる仕組みです。
評価の進め方
自工会・部工会ガイドラインは現状、自己評価方式が中心です。サプライヤーが自己評価シートに記入し、OEMや一次サプライヤーが評価結果を確認する形で運用されてきました。レベル4以上では第三者評価を組み合わせるケースも出てきています。
SCS評価制度との対応関係
経産省資料での整理
経産省の資料では、自工会・部工会ガイドラインのレベルとSCS★の対応について次のように整理されています。
| SCS評価制度 | 自工会・部工会ガイドライン | 主な特徴 |
|---|---|---|
| ★3 | Lv2〜Lv3相当 | 基礎的な対策と体系的管理 |
| ★4 | Lv4相当 | 高度な管理体制と取引先管理 |
| ★5 | Lv5相当(参考) | 国際規格水準 |
自工会Lv4をすでに達成している企業は、★4要求事項の多くをカバーできていると考えてよく、ステップアップに必要な工数は限定的です。
重なる領域
両制度で重なる主な領域は次のとおりです。
- 情報セキュリティポリシーの策定と運用
- アクセス制御と多要素認証
- パッチ管理と脆弱性管理
- ログ管理とインシデント検知
- インシデント対応計画と訓練
- 委託先管理(再委託含む)
両制度ともNIST CSFをベースとしているため、コンセプトレベルでは共通する管理策が大半です。
異なる領域
異なる領域も少なからずあります。
- 製造現場OT(制御系)対応:自工会は工場のOT環境(PLC、製造ライン制御)への配慮が強い/SCSは事業所一般を対象
- 車両セキュリティ:自工会は車載ECU・インフォテインメント等の車両側セキュリティに踏み込む/SCSは含まない
- 取引条件への組み込み度合い:自工会は完成車メーカーの調達基準として強く運用/SCSはまだ任意
- 更新サイクル:自工会レベルは内容により更新サイクルが異なる/SCS★3は1年・★4は3年
自動車サプライヤーの対応戦略
Tier1サプライヤー(OEM直接取引)
完成車メーカーの調達基準により自工会Lv3〜4が必須となっているTier1サプライヤーは、自工会対応をベースにSCS★4を上乗せ取得する戦略が現実的です。
- 既存の自工会Lv4対応のドキュメント・運用記録をSCS★4の証跡に流用
- 不足するのは「取引先管理(委託先のSCS取得促進など)」「サプライチェーン全体の可視化」など
- 第三者評価機関の選定では、自動車業界の知見を持つ機関を優先
Tier2/Tier3サプライヤー
Tier2/Tier3の中小サプライヤーは、自工会Lv2〜3を達成しつつSCS★3を取るケースが多くなる見込みです。
- 自工会Lv2の自己評価シートで蓄積した証跡を、SCS★3の評価シートに転用
- 二重対応を避けるため、規程・運用記録は共通化を意識
- 専門家確認のタイミングで、自工会対応とSCS対応を一括レビュー
部品工業会未加盟の中小製造業
自工会・部工会ガイドラインに直接的な拘束を受けないが自動車向け取引のある中小製造業は、SCS★3を先行取得しておくと、将来的にOEMやTier1から評価を求められた際にスムーズに対応できます。
対応を効率化する3つの実装方針
方針1:規程・文書の共通化
自工会対応とSCS対応で別々の規程・記録を作ると運用が破綻します。情報セキュリティ規程は1つに統合し、各制度の要求事項マッピング表を別添で整備するのが効率的です。
方針2:年次サイクルの統合
自工会の自己評価とSCSの自己評価を別々のタイミングで実施すると工数が倍増します。年次セキュリティ評価サイクルを統一し、1回の評価活動で両制度の証跡を整える設計にします。
方針3:委託先管理の共通化
自工会もSCSも委託先管理を求めています。重要委託先リスト・年次評価シート・契約書テンプレートを共通化し、両制度の要件を同時に満たします(委託先管理の実装ガイド参照)。
OT・制御系セキュリティの扱い
自動車サプライヤー特有の論点として、製造現場のOT(Operational Technology)セキュリティがあります。SCS評価制度の★3・★4では明示的にOT環境への要件は規定されていませんが、製造業のサプライチェーン参加企業として実態的にはOTを含む対策が求められます。
- 工場LANと事務所LANのネットワーク分離
- 製造ラインのPCのリプレース計画
- 古いOSが必要な制御端末の隔離
- USBメモリ等の外部媒体管理
OTセキュリティは★4の「ネットワークセグメンテーション」「アクセス制御」「マルウェア対策」の領域で間接的に評価されるため、自工会対応で実装した内容をSCS評価シートに紐付けて記載します。
政府調達・防衛との関係
自動車業界には、防衛省向け車両(特殊車両、装備品搭載車両)を扱うサプライヤーも存在します。これらの企業は防衛装備品調達基準(NIST SP 800-171相当)への対応が別途求められるため、自工会×SCS×防衛調達の三重対応が論点になります。
詳細は防衛装備品調達基準×SCS評価制度も合わせてご覧ください。
情シス365による自動車サプライヤー支援
情シス365では、自動車部品メーカー・サプライヤー向けに次の支援を提供しています。
- 自工会Lv2〜Lv4とSCS★3〜★4の同時取得計画策定
- 規程・運用記録の共通化設計
- OT環境を含めたネットワーク分離の実装
- 委託先管理の共通フレーム整備
- 専門家確認・第三者評価機関対応の伴走
自動車サプライヤーのSCS対応に関する60分無料相談はこちら →