VicOneが2026年自動車サイバーセキュリティレポートを発表――そのメッセージは明確です:侵害はもはや自社だけの問題ではありません
サイバーセキュリティの世界には、「何か問題が起きても自社の壁の中で収まる」という都合の良い幻想があります。自社の侵害、自社のインシデント対応計画、自社のフォレンジックチームが後始末をする。しかし、その幻想は完全に打ち砕かれました。
VicOneの2026年自動車サイバーセキュリティレポート(タイトル:Crossroads: Automotive Cybersecurity in the Overlap Era)は2026年2月11日に発表され、過去18カ月間に自動車業界のCISOが直感的に感じていたことを裏付けています。つまり、コネクテッドカーのエコシステムにおけるサイバーインシデントは、もはや組織の境界を守らず、拡大し、連鎖し、OEM、ティア1サプライヤー、クラウドプロバイダー、最終消費者までを一つの攻撃キャンペーンで巻き込みます。そして、「自社ネットワーク」が意味を持っていた時代に設計された業界のガバナンス構造は、現状に追いついていません。
数字は誇張なしに現実を物語っています。VicOneは2025年に自動車関連のセキュリティインシデント610件、脆弱性1,384件を記録。地域や企業をまたぐインシデントは前年比で3倍以上に増え、161件に達しました。2025年1月から10月のデータ漏洩コストは66億ドルに上ります。これは誤差の範囲ではありません。自動車サイバーリスクの構造そのものが変化しています。
5つの重要なポイント
- 自動車サイバーインシデントは組織のサイロから解放された。2025年に610件のインシデント、1,384件の脆弱性。地域・企業横断のケースは161件と3倍に増加。データ漏洩コストは66億ドル。攻撃はエンタープライズIT、クラウド、車載システムを一つのキャンペーンで横断。Kiteworksは、すべてのデータチャネルを統合的にガバナンスし、境界を問わず全てのやり取りを記録する統合監査ログを提供します。
- 車両が主要な攻撃対象に—顧客の最も機密性の高いデータが集約。車載システムがエンタープライズITを抜いて最大の攻撃対象に(39.7%対37.7%)。インフォテインメント、ゲートウェイ、ECUが連絡先、位置情報、音声録音、アカウントトークンを仲介。コックピットデータはランサムウェアの交渉材料になると予測。Kiteworksの属性ベースアクセス制御は、あらゆる信頼境界でデータ中心の保護を徹底します。
- 「スイスチーズ」コンプライアンス:規制を網羅してもギャップが残る。ISO/SAE 21434、UN R155、IEC 62443、ISO 15118-20、NIST IR 8473を組み合わせても、ドメインの交差点には恒常的なギャップが残ります。単一の規格で全攻撃面をカバーできません。Kiteworksは50以上のフレームワークに対応した事前構成テンプレートとリアルタイムのポリシー適用で、文書化された管理策と実際に適用される管理策のギャップを埋めます。
- ソフトウェアサプライチェーンが自動車攻撃者の新たな「玄関口」に。VicOneは、SBOMやAI BOMをコンプライアンス資産とし、静的リスク評価に代わるイベント駆動型「Dynamic TARA」を提唱。WEFはサプライチェーンの可視性を最重要課題と位置付け。Kiteworksの監査証跡、ロールベース制御、強化された暗号化アーキテクチャは、あらゆるサプライヤーデータ交換をガバナンスします。
- 取締役会レベルの説明責任時代—セキュリティリーダーに求められるのは証拠。VicOne CEOのMax Cheng氏は、サイバーセキュリティが取締役会レベルの課題であると明言。取締役会は「規制リスクは?どのデータが保護されている?境界を越えた侵害時の対応は?」と問います。Kiteworksは50以上のフレームワークに対応したエグゼクティブ向けコンプライアンスダッシュボード、FIPS 140-3認証暗号化、ゼロトラストアーキテクチャで、報告内容を裏付けます。
オーバーラップ時代へ:すべてがつながる世界
VicOneが提唱する「オーバーラップ時代」という概念は、自動車業界を超えて広がる現実を捉えています。従来型の車両プラットフォームがグローバル規模で稼働し続ける一方、ソフトウェア定義車両やクラウド連携エコシステム、学習・適応する新機能が同時に展開されています。車両、バックエンドサービス、エンタープライズIT、外部インフラは設計段階から密接に連携。しかし、サイバーセキュリティの責任やガバナンスは依然として分断されています。
その実際的な結果として、クラウドAPIが侵害されれば車両制御システムまで到達可能。ティア2サプライヤーのOTAアップデート基盤の脆弱性が、全車両フリートの安全性やプライバシーリスクに波及することも。EV充電ステーションの管理コンソールの脆弱性は、数十万ユーザーの顧客ID、請求メタデータ、充電セッションデータを露出させる可能性があります。
これは、WEFグローバルサイバーセキュリティアウトルック2026が他業界にも指摘する「相互接続のダイナミクス」と同じです。単一のローカル障害や標的型攻撃が、瞬時に大規模な影響へと連鎖する新世代のサイバーインシデント。自動車業界の違いは、その影響が物理的な被害に及ぶ点です。攻撃対象が高速道路を走行中の車両であれば、リスクはデータガバナンスを超えます。
車両が主要な標的に—そしてあなたの全てを知っている
本レポートで最も注目すべき発見の一つは、車載システムがエンタープライズITを抜いて最大の攻撃対象となったこと(39.7%対37.7%)。これは小さな変化ではなく、攻撃者が価値を見出す場所が大きくシフトしたことを示します。
最も標的とされる車載コンポーネント—インフォテインメントやヘッドユニット、車載ネットワークやゲートウェイ、ECUや組み込みソフトウェア—は、連絡先、位置履歴、マイク・音声録音、ペアリング済みスマホデータ、ナビ目的地、アカウントトークンなど、最も機密性の高い個人データを扱います。これらはユーザー入力と外部サービスが集約するインテグレーションハブであり、プライバシーの観点では攻撃面が拡大し続けるデータ集約層です。
VicOneはこの領域における3つの具体的なリスクベクトルを特定。第一に、Android AutomotiveやCarPlay連携などのサードパーティアプリエコシステムが、審査されていないコードによる位置情報やマイクデータの収集リスクをもたらします。第二に、コンパニオンアプリやバックエンドAPIは、認証不備やオブジェクトレベル認可の欠如、インジェクション脆弱性により、テナント間のデータ露出を招きます。第三に—これはプライバシー責任者が眠れなくなる要因ですが—コックピットデータがランサムウェアの交渉材料となり、運転行動や個人情報の暴露を脅迫されるリスクが高まると予測されています。
Dragos 2026年OT/ICSサイバーセキュリティレポートは、産業分野でも同様の傾向を記録。VOLTZITEのような脅威グループは、もはやITネットワークからデータを収集するだけでなく、OTデバイスに直接アクセスし、センサーや運用データを盗み出しています。つまり、電力網でもコネクテッドカーでも、攻撃者は最も価値のあるデータが存在する場所—物理システムのエッジ—を狙っています。
EV充電インフラ:誰も所有しない拡大する攻撃面
レポートは、EV充電インフラをサイバーリスクの新たな源泉として大きく取り上げています。充電ステーションは、車両、バックエンドサービス、モバイルアプリ、電力網を大規模につなぎ、顧客ID、充電セッションデータ、請求・決済メタデータ、運用テレメトリを処理します。VicOneが記録した脆弱性—認可バイパスやインジェクション脆弱性—は、顧客やフリート全体に波及し得ます。
ここでのコンプライアンス課題は深刻です。VicOneは複数の規格をEV充電セキュリティにマッピングし、単一の規格で全攻撃面をカバーできないことを指摘。ISO 15118-20はEVと充電器間通信を保護しますが、OSや管理プレーン、ファームウェアは十分にカバーしません。IEC 62443は産業制御のセキュリティを扱いますが、ITコンポーネントにはギャップが残ります。ISO/SAE 21434は車両中心のサイバーセキュリティ工学に主眼。UN R155は車両外の領域も参照しますが、EV充電インフラは間接的なカバーにとどまります。NIST IR 8473は統合的なリファレンスですが、適合証明そのものではありません。
結論として、これらの規格すべてで「チェックボックス」を埋めても、実際の攻撃経路—特に充電器・クラウド・車両をまたぐもの—を完全にカバーできるとは限りません。同様に断片化した規制環境で機密データを扱う組織には、このパターンはおなじみです。Kiteworksは、すべてのデータ通信チャネルを統合ガバナンスし、管理策を個別の規制要件にマッピングした自動コンプライアンスレポートで、運用セキュリティと切り離された「形式的なコンプライアンス」から脱却します。
車載AIアシスタントがフィッシングチャネルになるとき
レポートは、車載AIアシスタントが悪意あるリンクや電話番号、目的地を不正なリスティングや広告、メタデータ経由で表示させられる「アシスタント媒介型コンテンツインジェクション」というリスクパターンを紹介しています。アシスタントは高信頼インターフェースとして機能するため、ドライバーはその情報を鵜呑みにしがちで、車両ネイティブのソーシャルエンジニアリングチャネルとなります。
アシスタントが通話やナビ、決済などのアクションを実行できる場合、リスクはトランザクションの整合性やユーザー同意にも及びます。これは、信頼されたインターフェースが未検証のコンテンツを処理し、ユーザーが違いを見分けられないという、エンタープライズデータセキュリティの世界でも課題となっている問題の自動車版です。
WEFグローバルサイバーセキュリティアウトルック2026は、業界全体でこのダイナミクスを捉えています。導入前にツールのセキュリティを評価する組織は全体の40%にとどまり、評価の有無がレジリエンスレベルに直結。KiteworksのSecure MCP Serverは、信頼されつつ検証されたガバナンスのモデルを提供。外部エージェント(LLMベースアプリ含む)の全操作にロールベース・属性ベースのアクセス制御と包括的な監査ログを適用します。この原則は、企業のチャットボットでも車の音声アシスタントでも同じです。「インターフェースは信頼、アクションは検証、すべてを記録」。
自動車CISO—そしてすべてのコネクテッドエコシステムCISOが今すべきこと
システム単位のセキュリティからドメイン横断ガバナンスへ移行。レポートは、明確な責任者とエスカレーション経路を定め、個別コンポーネントではなくサービス・フリート・影響範囲ごとにリスクを測定するガバナンスを推奨。インシデントはIT、クラウド、車両、充電インフラをまたぐため、ガバナンスモデルもそれに合わせる必要があります。Kiteworksは、機密データのためのドメイン横断ガバナンスを提供し、すべての通信チャネルを統一的にポリシー適用、断片的なツールによる可視性のギャップを排除する統合監査ログを実現します。
リスク評価を定期から継続的へ。VicOneは、静的なリスク評価に代わり、コード変更やSBOM更新、ゼロデイ公表、脅威インテリジェンスに応じてトリガーされるイベント駆動型「Dynamic TARA」を提唱。これは、定期的な監査準備から継続的なコンプライアンスへの業界全体のシフトと一致します。Kiteworksのリアルタイムポリシー適用と自動証拠収集は、管理策が「文書化されているだけでなく、実際に稼働している」ことを継続的に証明します。
SBOMやAI BOMをコンプライアンス資産として扱う。トレーサビリティは監査、インシデント調査、サプライヤー説明責任の基盤です。組織には静的なインベントリではなく、ライブなソフトウェアサプライチェーンの可視性が必要です。Kiteworksの包括的な監査証跡は、すべてのファイル・ユーザー・アクションを全チャネルで追跡し、自動車業界が今求めるソフトウェア部品のトレーサビリティモデルを提供します。
個人データが流れるあらゆる信頼境界を強化。レポートは、インフォテインメントやAIシステムに対し、メモリ安全性、特権分離、入力検証、継続的な行動監視の強化を推奨。Kiteworksも同様の原則をエンタープライズデータに適用。ゼロトラストアーキテクチャで、明示的に許可されたIP以外は全て遮断、組み込みネットワークファイアウォール、侵入検知、顧客所有の暗号鍵で外部からのデータアクセスを防ぎます。
取締役会にはアラート満載のダッシュボードではなく証拠を提供。WEFによれば、レジリエンスの高い組織の取締役は、そうでない組織の約3倍(30%対9%)の個人責任を負っています。取締役会が知りたいのは「機密データの暗号化率」「どの管理策が適用されたか」「どの規制要件を満たしているか」。Kiteworksは、50以上のフレームワークに対応したコンプライアンス状況、データリスクの可視化、GDPR第30条記録、HIPAA監査レポート、NIS2インシデント通知、CMMC証拠などの自動レポートを、取締役会が意思決定できる形で提供します。
ドメイン横断リスクにはドメイン横断ガバナンスが必要
VicOne 2026レポートの核心は、プライバシーとコンプライアンスの成果は今やドメイン横断のサイバーセキュリティガバナンスによって決まるという点です。データ露出リスクは、個人識別情報が保存されている場所だけに存在するのではありません。車両、クラウドサービス、OTAパイプライン、ディーラーシステム、AIサプライチェーン、EV充電インフラが交差する場所—多くの場合規制の境界を越え、ほぼ常に組織の境界を越えて—現れます。
これは自動車業界特有の問題ではありません。WEFがあらゆる相互接続型産業で指摘するシステミックリスクと同じです。金融、医療、製造、重要インフラのCISOが、サードパーティのソフトウェア・ハードウェア・サービスの完全性を保証できないときに直面するサプライチェーン脆弱性と同じです。
このリスクを効果的に管理できる組織は、セキュリティをサイロで管理するのをやめ、機密データが動くすべてのドメインで横断的に管理し始めた組織です。Kiteworksは、それを現実の運用に落とし込むプラットフォームです。統合データガバナンス、リアルタイムポリシー適用、包括的な監査証跡、コンプライアンスを証明するエグゼクティブレポート、そして報告するセキュリティが実際に存在することを保証する暗号化アーキテクチャを提供します。
オーバーラップ時代は一時的なものではありません。データ、システム、パートナーが相互接続されたすべての組織にとって、これが新たな常態です。あなたのセキュリティプログラムがドメイン横断リスクに直面するかどうかではなく、あなたのガバナンス基盤がそれに対応できるかどうかが問われています。
Kiteworksがどのように支援できるか、カスタムデモを今すぐご予約ください。
よくある質問
ISO/SAE 21434は、リスク評価(TARA)、コンセプトフェーズの脅威分析、車両ライフサイクル全体にわたる開発後のモニタリングをカバーするサイバーセキュリティマネジメントシステムの導入を組織に要求します。しかし、そのギャップは「車両中心」であり、クラウドバックエンドやEV充電インフラ、サードパーティアプリエコシステムは対象外です。コンパニオンアプリAPIから車両システムに攻撃が波及した場合、車両側の21434準拠だけでは露出元をカバーできません。ドメイン横断の監査証跡と統合ポリシー適用が、21434がカバーしきれない部分を補完します。
Dynamic TARAは、コードのマージやSBOM変更、ゼロデイ公表、脅威インテリジェンス更新などのイベントに応じて自動的に実行される、ポイントインタイムではない脅威分析です。静的TARAが機能しない理由は、ソフトウェア定義車両が継続的なOTAアップデートを受けるため、評価ごとに攻撃面が変化するからです。静的TARAの翌日に脆弱性が公表されても、次回の定期レビューまで評価されず、攻撃者に構造的な隙を与えます。継続的な監査ログとリアルタイムポリシー適用が、データガバナンスにおける同等の役割を果たします。
コンパニオンアプリは、車両状態や位置履歴、リモートコマンド、アカウントデータへのアクセスを可能にする長寿命のOAuthトークンを保持しています。APIエンドポイントがリクエストユーザーのリソース所有権を検証しない「オブジェクトレベル認可の欠如」により、テナント間の大規模なデータ露出が発生。1つのアカウントが侵害されると、同じエンドポイント経由で他ユーザーのデータも列挙可能です。車載システムの物理的侵入が必要な攻撃と異なり、APIの脆弱性はリモートから大量に悪用可能。これらは、エンタープライズSaaS環境でUnit 42が記録したトークン悪用パターンと同じで、同じアーキテクチャ、同じサプライチェーンリスク、車両規模での個人データ露出を意味します。
コックピットデータ(位置履歴、音声録音、連絡先、運転行動、ペアリング端末情報)は、GDPRやCCPAなどの枠組みで「個人データ」に該当します。不正な持ち出しがあれば、攻撃者がシステムを暗号化するかどうかに関係なく、漏洩通知義務が発生します。GDPRでは72時間以内の監督当局通知が必要です。従業員の運転データを処理するフリート運用者には雇用プライバシー義務も及びます。コックピットデータの保存範囲・期間・アクセス制限を管理するデータガバナンスだけが、事前のリスク低減策となります。
責任の割り当ては、契約上のデータ処理契約と適用法規に依存します。GDPR下では、OEMがデータ管理者でティア2サプライヤーがその代理で個人データを処理する場合、侵害が上流で発生してもOEMが主たる通知・説明責任を負います。UN R155は、サプライチェーン管理を含むサイバーセキュリティマネジメントシステム義務を車両メーカーに課しています。サプライヤーのアクセス制御やデータ交換の監査証跡、契約上のセキュリティ要件を証明できないOEMは、ユーザーデータが波及的に露出した際に規制・民事両面で責任を問われます。
追加リソース
- ブログ記事 ゼロトラスト・アーキテクチャ:決して信頼せず、常に検証
- 動画 Microsoft GCC High:防衛請負業者をより賢い優位性へと導く不利な点
- ブログ記事 DSPMで機密データが検出された後の保護方法
- ブログ記事 ゼロトラストアプローチで生成AIへの信頼を構築する
- 動画 ITリーダーのための機密データ安全保管の決定版ガイド