自工会・部工会ガイドライン必須対応！法人が取るべきセキュリティ強化策の要点

１：ガイドラインの背景と概要

自工会・部工会の役割とガイドライン策定の目的

自動車産業では、近年サイバー攻撃が大きなリスクになっています。工場のシステムが止まったり、取引先を通じて情報が漏えいしたりする事例もあり、業界全体で対策が急務となりました。
こうした状況を受けて、日本自動車工業会（自工会：JAMA）と日本自動車部品工業会（部工会：JAPIA）は、自動車産業に関係する全ての会社を対象に、2020年に「サイバーセキュリティガイドライン」を策定しました。

参考：日本自動車工業会「自動車産業サイバーセキュリティガイドライン」

ガイドライン策定の目的は、自動車産業に関わるすべての企業が共通のルールに基づき、安全な情報管理を行い、業界全体のセキュリティレベルを底上げすることです。
ガイドラインには、ウイルス対策やアクセス権の管理、情報漏洩防止など、企業が取り組むべき基本的な対策が整理されています。自社のセキュリティレベルを自己評価できるチェックシートもあり、取り組みの進み具合を確認しながら段階的にセキュリティを強化できます。2023年には改訂版（Ver.2）が公開され、リモートワークやクラウド利用など、変化するIT環境に対応した内容へとアップデートされました。2025年9月には、チェックシートの改定があり、Ver.2.3が現時点での最新版となっています。
自工会・部工会ガイドラインは自動車業界全体でセキュリティ対応を進めるための“共通基準”となっています。

策定の背景となった自動車業界の重大事件・事故

このガイドラインが生まれた背景には、いくつものサイバー攻撃事件があります。たとえば、海外の自動車メーカーがランサムウェアに感染して工場が数日間停止したり、国内では部品メーカーが攻撃を受けて生産ラインが止まったりといったケースが報告されています。こうした攻撃は「大企業だけの問題」ではありません。攻撃者は、セキュリティが手薄な中小企業や取引先を狙い、そこから機密情報や設計データにアクセスしようとします。つまり、一社の不備がサプライチェーン全体に被害を広げてしまうのです。

自工会・部工会サイバーセキュリティガイドラインは、こうした連鎖的な被害を防ぎ、業界全体の安全と信頼を守るために作られました。
また、欧米ではすでに「車両サイバーセキュリティ認証」など国際的な基準（UN-R155）が導入されています。今後、日本の自動車業界でも同等レベルの対応が求められる流れです。そのため、ガイドライン対応は「取引のための条件」であると同時に、企業を守るための最初の一歩でもあります。これから対応を進める企業にとって、まずはこのガイドラインを理解することが、確かなセキュリティ対策の出発点になります。

２：ガイドラインの核心：3つのセキュリティレベル

自工会・部工会サイバーセキュリティガイドラインの中心となる考え方が、「3つのセキュリティレベル」です。この仕組みは、企業の規模や役割に応じて必要な対策を段階的に示すもので、「どこまで対応すればよいのか」を判断するための目安になります。

Lv1：自動車産業に関わる全ての企業が必須の最低限の対策

Lv1は、自動車産業に関わるすべての企業が「最低限、必ず実施すべき」とされる基本対策です。Lv1では、ウイルス対策ソフトの導入、パスワードの適切な設定、従業員による情報の持ち出し防止、アクセス権の管理、操作ログの取得など、情報を安全に扱うための基礎的なルールが求められます。
「セキュリティ対策＝難しい」と感じる人も多いですが、Lv1は決して特別な仕組みではなく、「日常的な管理をしっかり行うこと」が中心になっています。
たとえば、PCの更新プログラムを定期的に適用したり、USBメモリの使用をルール化したりといった対策もLv1に含まれます。

Lv2／Lv3：より高いレベルの対策で、情報を守り抜く

Lv2は、製品設計や社外の開発情報など、機密性の高いデータを扱う企業が目指すべき基準です。Lv1で整えた基本対策に加え、外部からの不正アクセス防止やデータ暗号化、ネットワーク分離などの強化策が求められます。

さらにLv3では、自動車メーカーや主要サプライヤーなど、業界の中枢を担う企業向けに、より高度な体制構築が必要になります。具体的には、セキュリティ監視体制（SOC）の導入や、インシデント発生時の迅速な対応手順、第三者機関による定期的な評価などが含まれます。

レベルが上がるにつれて対策は増えますが、いきなりすべてを実現する必要はありません。ガイドラインでは、「Lv1→Lv2→Lv3」と、段階的にレベルアップしていくアプローチを推奨しています。自社の業務内容や取引条件を踏まえ、どのレベルを目標にするかを明確にすることが、無理のない対応の第一歩です。
このように、3つのレベルは「企業がどこまでセキュリティに取り組むべきか」を具体的に示す道しるべです。
ガイドラインを正しく理解し、自社の状況にあったレベルから取り組むことで、自動車業界全体の信頼性向上とリスク軽減につながります。

３：提出が強く推奨される153項目のチェックシート

自工会・部工会サイバーセキュリティガイドラインでは、企業が自社の対応状況を確認できるように、153項目からなるチェックシートが用意されています。
次のサイトから、ダウンロードして入手できます。

参考：日本自動車工業会「自動車産業サイバーセキュリティガイドライン ― 付録：チェックシート」

チェックシートの内訳は、Lv1：50項目、Lv2：74項目、Lv3：29項目となっており、レベルが上がるほど求められる対策が高度になります。

チェックシートの目的とレベルの対応関係

このチェックシートは「自己評価シート」とも呼ばれ、自社のセキュリティ対策がどこまで実施できているかを「見える化するためのツール」です。
項目は、各レベル別に対応しており、たとえば「パスワードを定期的に変更しているか」「重要なデータのアクセス権を適切に管理しているか」など、具体的で理解しやすい内容になっています。
チェックシートの目的は、単に「合否を判定する」ことではありません。
自社の弱点や改善ポイントを把握し、次のステップに進むための指針を得ることにあります。Lv1を達成した企業は、引き続きLv2の項目を少しずつ整えることで、自然とレベルアップが図れます。このように、ガイドラインのチェックシートは「取引先への提出用」だけでなく、自社の成長を促す自己診断ツールとしても非常に有効です。

チェック結果を取引先に提出する実質的な義務

多くの自動車メーカーや主要サプライヤーでは、取引先に対してこのチェックシートの提出を求めています。また、自工会や部工会でも、提出は強制ではないものの、チェックシートの提出を強く推奨しています。
理由としては、「１：ガイドラインの背景と概要」でも記述した通り、背景には、自動車業界特有のサプライチェーン構造があります。
1社のセキュリティ不備が下流・上流の企業に連鎖的な影響を与えることがあり、業界全体の安全性と信頼性を守るためには、すべての関連する企業が一定レベル以上の対策を整備する必要があります。
そのため、単なる形式的な手続きではなく、取引継続や新規契約の条件の一つとして事実上扱われることが増えているのが実態です。
たとえば、取引先企業がチェック結果を確認した際に「Lv1未達」と判断されると、追加の改善報告を求められたり、場合によっては新規取引の開始が難しくなるリスクがあるかもしれません。
チェックシートは、各項目について対応状況を「0点：未実施、1点：対応中、2点：対応完了」の三段階で評価する形式です。
この評価により、どの項目の整備が不足しているのか、どこにリスクが潜んでいるのかを可視化できます。また、取引先から求められた場合は、対応完了と評価した項目について、適切な証拠（運用記録やルール文書など）を確認できる状態にしておくことが望ましいとされています。つまり、チェックシートは単なる自己申告ではなく、自社の対策状況を客観的に示す手段でもあるため、提出に向けて内容を整理し、必要に応じて資料を整備することが、取引先との信頼関係維持にもつながります。

４：実践的なセキュリティ対策

Lv1はサプライチェーンに関わるすべての企業が対応すべき事項がまとめられていますが、必須項目を確実に満たすためには、全体像をつかみ、重要なポイントから順序立てて取り組むことが欠かせません。
本章では、主にLv1のガイドライン対応を効率的に進めるための実践ステップを6つに整理し、取り組みの道筋を示します。

Lv1の必須項目を達成するための6つの実践ステップ

自工会・部工会サイバーセキュリティガイドラインのLv1は、「自動車産業に関わるすべての企業が最低限取り組むべき対策レベル」として位置付けられています。とはいえ、実際に多岐にわたるチェック項目の中から、自社でどこまで対応すればよいのか、何から始めればいいのか分かりにくいという声も多く聞かれます。ここでは、Lv1達成を目指す企業が押さえておくべき6つのステップを紹介します。

１．自社の「現状把握」と対象範囲の明確化

最初のステップは、自社が管理・運用している情報資産の洗い出しです。
PCやサーバーだけでなく、ネットワーク機器、USBメモリなどの外部媒体、メールシステム、クラウドサービスなど、業務で扱うすべての資産を把握します。併せて、ガイドラインの対象範囲（サプライチェーン上での自社の立ち位置）を明確にすることで、どの項目が自社に該当するかを整理できます。

２．ルールと責任体制を整える

次に、情報セキュリティ対策を実施するための社内ルールと責任体制を整備します。「情報セキュリティ方針」や「IT利用ルール」を文書化し、従業員が理解・遵守できるようにすることが重要です。加えて、セキュリティ責任者や管理者を明確にし、インシデント発生時の報告経路を定めておくことで、初動対応の遅れを防げます。

３．アクセス管理と認証の適正化

Lv1項目の中でも特に重要とされるのがアクセス権限の管理です。
「誰が、どのシステム・情報にアクセスできるか」を明確にし、不要な権限を与えないことが基本となります。また、パスワードの強度設定や定期変更、アカウントの棚卸しも忘れてはいけません。これらを怠ると、不正アクセスや情報漏洩のリスクが高まります。

４．ウイルス・マルウェア対策を徹底する

外部からの攻撃を防ぐために、ウイルス対策ソフトの導入・更新は必須です。
近年はメールやUSB経由の感染に加え、業務用端末がインターネット経由で攻撃されるケースも増えています。ウイルス定義ファイルの自動更新を有効化し、脅威情報を定期的に確認するなど、日常的な運用を徹底しましょう。

５．メール・ファイル送受信の安全対策

自動車業界では、設計図面や見積書などの機密情報のやり取りが多く行われます。
誤送信や不正アクセスを防ぐため、添付ファイルの暗号化やリンク共有の制限、外部送信時の承認フローなどを設定しましょう。また、メール本文内の情報漏洩のリスクにも注意が必要です。

６．ログの取得と定期点検の習慣化

最後のステップは、実施状況を継続的に点検する仕組みづくりです。
アクセスログ、操作ログ、更新履歴などを定期的に確認することで、異常や不正の兆候を早期に発見できます。また、サイバー攻撃の被害を受けた際に「いつ、誰が、どの操作を行ったか」を追跡できるようにしておくことが、事後対応や再発防止にも役立ちます。

段階的な取り組みが「Lv1達成」への近道

Lv1の対応は、一度に全項目を完璧に整備する必要はありません。
重要なのは、自社の現状を把握し、優先度をつけながら段階的に改善を進めることです。
こうした基礎的なセキュリティ対策を着実に実行することで、サプライチェーン全体の信頼性向上にもつながります。

中小企業向けの段階的アプローチとツールの活用

自工会・部工会サイバーセキュリティガイドラインにおける「Lv1」は、あくまで自動車産業に関わるすべての企業が最低限実施すべき共通基準です。
しかし、中小企業にとっては人員・コスト・ノウハウの制約から、すべてを短期間で整備するのは現実的ではありません。そのため、段階的なアプローチで進めることが大切です。

まず「できること」から始める

Lv1対応の中には、すぐに取り組める項目が多く含まれています。たとえば、

• パスワードの複雑化や変更ルールの明確化
• USBメモリなど外部媒体の利用制限
• ウイルス対策ソフトの導入・更新設定
• 社員へのセキュリティ教育の実施

こうした“今すぐ実行できる”対策から着手することで、短期間でもリスク低減効果を得られます。また、「社内にセキュリティルールをつくる」「管理者を明確にする」といった基本的な体制整備も、最初の一歩として効果的です。

優先順位をつけて段階的に整備する

Lv1の全50項目の中には、即時対応が必要なリスク対策項目と、中長期的に整えていく運用項目があります。最初に全体を俯瞰し、「今すぐ取り組むべき領域」と「後で対応すべき領域」を整理すると、無理なく進められます。例も合わせてご紹介します。

段階的に整備を進めながら、各ステップの完了時点で自己評価を実施し、チェックシートに反映することが重要です。

支援ツールを活用して効率化する

セキュリティ対策は「人手だけで行う」と膨大な時間と労力がかかります。
そこで、クラウドサービスやIT資産管理ツール、ログ管理システムなどの支援ツールをうまく取り入れることで、作業の効率を大幅に高められます。

こうしたツールを利用することで、Lv1で求められる対応が効率化され、担当者の負担を減らせます。また、Lv2や3といった高度な共有事項への対応にも役立ちます。特に中小企業では、専任のセキュリティ担当者を置くことが難しいケースも多いため、“ツールで補う”という考え方は、ガイドライン遵守に向けた現実的かつ効果的な選択肢となります。

外部リソースを積極的に活用する

社内だけで全てを完結させようとすると、知識面や技術面で行き詰まることもあります。その場合は、外部の専門家や支援サービスを活用するのも効果的です。
自工会・部工会が提供しているガイドラインの教育資料やFAQ、IPA（情報処理推進機構）の公開コンテンツなど、無料で利用できる支援リソースも多数存在します。また、取引先企業が提供するテンプレートやチェックリストを活用することで、自社での整備作業を効率化できます。

資料：日本自動車工業会＆日本自動車部品工業会「セキュリティ推進担当者向け解説資料」

資料：IPA「実務者のためのサプライチェーンセキュリティ手引書」

継続的に見直す仕組みをつくる

一度整備しただけでは、セキュリティレベルは維持できません。サイバー攻撃の手口は年々巧妙化しており、システムや業務フローの変化に合わせて、ルールや設定も更新する必要があります。定期的な自己評価や社内点検を通じて、「現状維持」ではなく「継続的な改善」を目指す姿勢が重要です。

中小企業でも「できる範囲で一歩ずつ」

Lv1対応は、完璧を求めるよりも、“できるところから確実に前進する”ことが大切です。限られたリソースの中でも、優先順位をつけて段階的に整備を進め、必要に応じて外部支援やツールを取り入れることで、実現可能な形でセキュリティレベルを引き上げられます。
こうした取り組みの積み重ねが、取引先からの信頼を高め、サプライチェーン全体の安全性を守ることにつながります。

まとめ：ガイドライン対応の意義と価値

自工会・部工会のサイバーセキュリティガイドラインへの対応は、単なる形式的な取り組みではなく、自動車産業全体の信頼と安全を守るための重要な基盤づくりです。サプライチェーンのどこか一社でも脆弱な部分があれば、攻撃者にとってはそこが侵入経路となり、結果として多くの企業が被害を受ける可能性があります。こうした連鎖的なリスクを防ぐためには、業界全体で共通の基準に基づいた対策を整えることが欠かせません。

特にLv1の項目は、自動車産業に関わるすべての企業が最低限実施すべき内容として定められています。各社がこれを確実に達成することで、業界全体のセキュリティ水準を一定以上に保ち、サプライチェーン全体の信頼性を高めることができます。また、ガイドラインに基づく取り組みを進めることで、自社のIT環境や業務フローを改めて見直す機会にもなり、結果として情報管理体制の強化や業務効率の向上につながるケースも少なくありません。

サイバー攻撃の手口は年々巧妙化し、攻撃対象の範囲も広がっています。中小規模の企業であっても「狙われない」とは言い切れない時代です。そうした中で、ガイドラインに沿った対策を進めることは、取引の信頼を守るだけでなく、自社の事業継続を支える大きな備えとなります。対応を後回しにせず、今できる範囲から少しずつ整備を進めることが、結果的に大きなリスクを防ぐことにつながります。
ガイドライン対応は、コストや工数を要する取り組みでもありますが、その先には「安心して取引できる関係」と「安定した事業運営」という確かな成果があります。サプライチェーンの一員として、そして持続的に成長する企業として、セキュリティ対策に正面から向き合う姿勢が、これからの時代に求められています。ガイドライン対応は、単なる義務ではなく、自社の価値を高め、将来のビジネスを守るための第一歩と言えるでしょう。

ISM CloudOneで支援する「効率的な運用」と「継続的なチェック」

クラウド型IT資産管理ツール「ISM CloudOne」のようなサービスを活用すれば、PCやスマートデバイス等の資産の洗い出しや、管理やログ取得を自動化できます。これにより、効率的にLv1やLv2／3への対応を支援します。

詳しくはこちら
【ISM CloudOne】ISM CloudOneで支援する自工会ガイドラインへの対応

継続的なセキュリティレベル維持を支援する仕組み

ISM CloudOneを活用することで、PCやアプリケーションなどのIT資産の状態を常に最新の情報として把握できます。これにより、ガイドラインで求められる「管理状況の可視化」と「定期的な点検」を日常業務の中で自然に実現できます。
チェックシートには、「重要度に応じた情報機器、OS、ソフトウェアの管理ルールを定めている」という項目も含まれていますが、ISM CloudOneを活用することで、最新版になっていないOSやアプリケーションを見つけ出し、是正することができます。
ガイドラインへの対応は、一度達成して終わりではありません。組織体制の変化や新しいシステムの導入、業務環境の更新などにより、セキュリティリスクは常に変化しているからです。そのため、定期的に状況を確認し、必要な修正や改善を加えていく「継続的な運用」が欠かせません。
こうした継続的な確認を自動化できる点こそ、ISM CloudOneを導入する大きなメリットとなります。

「証跡」の確保と提出対応をスムーズに

ガイドラインのチェックシートでは、対応状況の自己評価だけでなく、対応を裏付ける証跡（エビデンス）の提示が求められる場合があります。
ISM CloudOneでは、ログや設定情報を自動的に収集・保存できるため、証跡を手作業で集める必要がなくなります。過去の変更履歴やアクセス状況も記録として残るため、取引先や監査対応時に求められる「いつ・誰が・どのように対策を行ったか」という情報をすぐに提示することができます。これにより、チェックシート提出や自己評価の効率化はもちろん、社内での説明責任の明確化にもつながります。

サプライチェーン全体の信頼を高めるために

自社のセキュリティ対策を整えることは、単に自社を守るだけではなく、サプライチェーン全体の信頼性を高めることにも直結します。
ISM CloudOneのようなツールを活用することで、継続的な改善を進める仕組みを構築できます。“見える化”された管理は、企業間の信頼を裏付ける根拠にもなり、取引の安定や新規ビジネスの展開にもプラスの効果をもたらします。
自社のセキュリティ体制を整える第一歩として、まずは現状を見える化することが重要です。ISM CloudOneの詳細資料や導入事例を通じて、ガイドライン対応の効率化をぜひご検討ください。

詳しくはこちら
【ISM CloudOne】ISM CloudOneについてもっと知る