最新情報
■2024-02-05
TISAXは2024年12月7日にVer6に改定されました。
本年2024年4月以降の審査ではVer6が使用されます。
今からTISAXの取得準備を開始する企業様はVer6.0を使って準備を進める必要があります。
今なぜ情報セキュリティ管理が必要か?
日本では近年次のような情報セキュリティ事件が発生しました。年々巧妙かつ、凶悪化しています。
| 順位 | 2023 | 2022 | 2021 |
|---|---|---|---|
| 1位 | ランサムウェアによる 被害 | ランサムウェアによる 被害 | ランサムウェアによる 被害 |
| 2位 | サプライチェーンの弱点を悪用した攻撃 | 標的型攻撃による機密情報の窃取 | 標的型攻撃による機密情報の窃取 |
| 3位 | 標的型攻撃による機密情報の窃取 | サプライチェーンの弱点を悪用した攻撃 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 4位 | 内部不正による情報漏えい | テレワーク等のニューノーマルな働き方を狙った攻撃 | サプライチェーンの弱点を悪用した攻撃 |
| 5位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 内部不正による情報漏えい | ビジネスメール詐欺による金銭被害 |
| 6位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 脆弱性対策情報の公開に伴う悪用増加 | 内部不正による情報漏えい |
| 7位 | ビジネスメール詐欺による金銭被害 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 予期せぬIT基盤の障害に伴う業 務停止 |
| 8位 | 脆弱性対策情報の公開に伴う悪用増加 | ビジネスメール詐欺による金銭被害 | インターネット上のサービスへ の不正ログイン |
| 9位 | 不注意による情報漏えい等の被害 | 予期せぬIT基盤の障害に伴う業務停止 | 不注意による情報漏えい等の被 害 |
| 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) | 不注意による情報漏えい等の被害 | 脆弱性対策情報の公開に伴う悪 用増加 |
これらの情報セキュリティの問題が発生しないようにするために発行されたのがISO27001情報セキュリティマネジメントシステムです。このISO27001は、規模、業種業態、製品やサービスに関係なく、どのような企業でも使えるように作られています。
一方、自動車や自動車部品製造業の固有の管理基準は、個々の会社が自ら考えて組み込むことが必要でした。このため三社三様の管理基準が作られ、このことが原因で不合理な状態が生じていました。
※用語の解説
- ランサムウェアとは、マルウェアの一種で、データを勝手に暗号化しそれを復元する代わりに身代金を要求する悪質なものです。復旧に数ヶ月必要とすることもあります。http://tinyurl.com/2cbshzm4
- 標的型攻撃とは、特定の企業を標的として攻撃すること。
- 情報セキュリティマネジメントシステムとは、情報の機密性、完全性、可用性を維持管理するシステムのこと。
- 機密性とは、重要な情報を関係ない外部に見られないようにすること。
- 完全性とは、情報が常に完全なものであること。かいざんされないように保護すること。
- 可用性とは、許可された者が情報を使うことができるように維持管理すること。
- OEMとは、自動車メーカーやTier1など、自社が製造した自動車部品の納入先のこと。
TISAXとは
これまでは情報セキュリティの要求事項は、自動車部品の納入先(TISAXでは、この納入先をOEMと呼ぶ)によって異なっていました。このため、納入先が増えるたびに、情報セキュリティの管理基準への対応や準備が必要でした。
これを改善するため、欧州自動車メーカーや自動車部品製造業者などで構成されるENX協会(European Network Exchange)とドイツ自動車工業会(VDA)が共同で情報セキュリティ管理の統一基準を開発しました。これがTISAXです。TISAXを使用することで、これまでの不合理がなくなりました。
TISAXの初版は2017年に発行されました。2022年現在40ヶ国以上、2500社以上の企業で採用され、増え続けています。自動車部品納入メーカーは、EUの自動車メーカーやサプライヤーからTISAXに取り組んで欲しいと言われるケースが多いと聞きます。今後EUの自動車関連会社に自動車部品を納入するためには、TISAXの認証取得が必須となるでしょう。
TISAXにはレベルが3つある
AL1、AL2とAL3があります。
ALとは、アセスメントレベルのことです。
AL1は、自己評価であり、主として社内目的で使用されます。
AL2は、試作車、プロトタイプ等を含まない場合を指します。
AL3は、試作車、プロトタイプの製造、保管、テスト走行、撮影を含むものです。
どれを必要とするかは、認証取得を要望されるOEM(顧客)によって指定されることがあります。
TISAX認証取得するプロセス
TISAXを取得するためには次の活動が必要です。
審査はTISAXの要求の1点1点を確認されます。
「やっています」だけでは認められず客観的な証拠を提示することを求められます。
プロセス
【OEMからの取得要請】OEMとは自動車部品の納入先のこと
↓
【審査レベルを決める】AL2(試作車なし)、AL3(試作車あり)
↓
【ISMS構築運用】27001とTISAXの要求事項を満足する仕組みを作り運用する
↓
【ENXに登録】参加表明する
↓
【自己評価】ISMSの運用状況を確認して評価する。全ての項目で3点以上が必要
↓
【初回審査】初回の審査を受ける。リモート審査
↓
【本審査】AL2はリモート審査、AL3は実地審査
↓
【是正処置】指摘があれば是正処置が必要になる。
↓
【是正完了報告】是正処置が終了したことを報告する。
↓
【フォローアップ審査】是正処置が完了していることを審査する。
↓
【ENXに登録】この登録をもって認証取得したことになる。(合格)
◎詳しいフローチャートを差し上げます
開始から3年後の審査までの詳しいフローチャートを準備しています。
「TISAX導入セミナー」(無料)を受講された方に差し上げます。
TISAX導入セミナーの受講申込は、こちらに記入してお送りください。
◎規格書やハンドブック入手方法は簡単に入手可能
入手方法を知りたい方は、こちらに記入してお送りください。
TISAXを導入するメリット
- 情報セキュリティの機能が向上する。このことでサイバー攻撃に対するリスクが軽減できます。
- 自社がTISAXを導入していることを営業努力なしに知らしめることができます。
- 顧客からの評価が高くなり、受注の機会が多くなります。
- 商取引が容易になります。(メーカー及びサプライヤーの両方とも効率がよくなる)
- ENXサーバーは自動車メーカーやTier1も見ています。これは営業活動に役立ちます。
最後に
アイソ・ラボ株式会社は、開発会議を立ち上げ、社内の有識者を集めてTISAXの認証取得支援に必要な準備を進めています。コンサルタントは横浜、名古屋、福岡にいます。
TISAX認証取得コンサルティングの見積をご希望の場合は、下の見積依頼書にご記入の上、メール添付でお送りください。御社からの見積依頼をお待ちしています。
アイソ・ラボ株式会社
営業責任者 平川雄典
導入セミナー
TISAX導入セミナー 申込フォーム