日野自動車の認証不正から思う、ITでの第三者検証の重要性

blog

さる、2022年8月2日、世界最大の自動車メーカーであるトヨタグループの一角である日野自動車が、2003年以降の排ガス規制対応に関する認証試験において、不正を行っていたことが発表された。これを受けて、同社の大中型トラックは、全車出荷停止という、とてつもない損害が生まれることになってしまった。
また、同社を信じてトラックを購入・利用していた顧客は、意図ぜず環境を汚染してしまっていた事にもなる。
自動車業界では、これまでも多くのメーカーで似たような不正事件が行われてきたが、またかというのが、多くの人の感想ではないだろうか。
今回の不正の温床になってしまった組織構造の特徴は、”性能実験”を行う部署と”認証試験”を行う部署が同じであったという点だと言われている。
経営層から売上や、スケジュールについてプレッシャーを受ける中で、自分たちの部署の一存で、結果を改ざんできてしまう組織構造の中では、その誘惑から逃れるのは難しかったのかもしれないとも思う。
翻って、ITの世界ではアプリケーションの動作検証、セキュリティ検証については、IVIAなど第三者検証を主導する団体もでき、多くの第三者検証専門の会社が上場を果たすほどに、業界も成長してきており、十数年前のように、自社内で、アプリを作成した部署で、アプリ検証をして完結するような、今回の日野自動車のようなことは、なくなってきている。
しかし、社内システム、ネットワーク、WEBプラットフォームなどについては、未だに第三者に脆弱性などのセキュリティ検証を委託する企業は一部の大手企業に偏っているのが現状である。これは、この検査にはそれなりに大きな費用がかかることが一因であるが、被害があった際の損害は、検査費用の数十倍にもなる可能性があります。このレポートを読まれているあなたが、もし経営層の方であれば、ぜひ、自社では誰が、このシステム検証をしているのか確認してみてください。
情シスの一部のメンバーに聞いて「うちは、常に私たちが確認しているので大丈夫です」と言ってきたら、”ダメなのでは?”疑うことをおすすめします。
タスクがいっぱいの情シス担当者は、作業を増やしたくないので、「調査します」とは、なかなか言わない可能性があると考えてください。
その上で、専門業者のサイバーセキュリティ調査を定期受信することをおすすめします。
弊社でも、サイバーセキュリティコンサルティングサービスを用意して、お問い合わせをお待ちしています。
<チェンジのサイバーセキュリティコンサルティングサービス>

blog

Posted by 大里昌久