導入事例｜Ping32 が自動車メーカーのグローバル情報セキュリティ基盤を強化

スマート化とデジタル化が加速する現在、自動車産業は大きな変革期を迎えています。車両はもはや機械構造と動力システムの集合体ではなく、クラウドと接続し、データ駆動で、ソフトウェアサービスを搭載する“モビリティ端末”へと進化しました。それに伴い、情報セキュリティに求められる水準も急速に高まっています。研究開発の設計資料、走行データ、顧客情報、海外運用プラットフォーム――機密情報が社内外で流通するほど、ひとたび統制を失えば、経済的損失だけでなく、ブランド信頼、法令遵守、国際取引における信用にも大きな影響を及ぼします。

欧州および国際市場では、TISAX（Trusted Information Security Assessment Exchange）が取引先のセキュリティ能力を判断する重要指標となりつつあります。多くのOEMやTier1は、協業前にサプライヤへTISAX認証結果の提示を求め、レベルに応じて情報保護水準を評価します。海外展開を進めるあるコネクテッドカー企業は、国際的に通用する第三者評価を通過することこそが“信頼の前提条件”であると判断し、次のように明確化しました。

「グローバル競争で確固たる地位を築くには、国際標準に整合し、OEMに認められる情報セキュリティ体制が不可欠だ。」

この方針のもと、同社は Ping32 のエンタープライズ端末・データセキュリティプラットフォームを採用し、TISAX AL2 の認証取得に成功。複数の国際協業プロジェクトへの参画を実現しました。
認証は“証明書”ではなく、グローバル市場で信頼を獲得するための重要資産となりました。

1. 背景と課題

同社はコネクテッドカー領域で約10年の実績を持ち、海外向け車両ネットワーク、充電運用管理、デジタルマーケティングなどを展開。国内外に事業を拡大する中で、顧客データ、システムアーキテクチャ情報、運用データなど多様な機微情報を継続的に取り扱っています。漏えい時の影響は、ブランド、取引関係、事業継続に直結します。

TISAX はVDA（ドイツ自動車工業会）とENX（European Network Exchange）により策定され、ISO/IEC 27001 等を基盤に、自動車サプライチェーン連携、設計・テストデータ保護など業界特性を反映した評価体系です。認証結果は共通プラットフォームで共有され、取引先選定の“入場券”として定着しています。

TISAX の AL2 は「高い保護レベル」に位置づけられ、車両の重要技術資料、個人情報、運用保守データなどを扱う組織に求められます。審査は規程の有無だけでなく、次を重視します。

• 実行可能な端末・データ保護が実装されているか

• 重要リスクシナリオが体系的にカバーされているか

• 監査・フォレンジックが明確かつ検証可能か

最大の課題は、
文書上の要求事項を、現場で「見える・止められる・追える」運用に落とし込むことでした。
そのためには、端末・データ・設定・操作ログを一元管理し、監査機関へ再現性ある証跡を提示できる技術基盤が必要でした。

2. ソリューション：Ping32 による統合端末・データセキュリティ

同社は Ping32 を導入し、Webアクセス制御、文書保護と監査、画面保護、印刷制御、リムーバブルメディア制御、ハードウェア/デバイス管理、システムセキュリティとIT資産管理、ソフトウェア管理、運用センター、透過型暗号化などの主要モジュールを展開。端末—行動—データを一体で守る統合統制を実現しました。

まず機密データを分類し、重要フォルダを自動暗号化。ユーザーは通常どおり編集可能で負荷を増やしません。一方、個人メール、IM、パブリッククラウドへの持ち出しを試みた場合は、ポリシーに従い自動検知して遮断/申請/強制暗号化を実施。さらに機微ワードや構造化データの識別で対象ファイルを自動マーキングし、重点監査することで、持ち出し行為を追跡可能にしました。

リムーバブルメディアの高リスク対策
「デフォルト禁止＋例外許可」の方針でUSBストレージを統合管理。未承認デバイスは利用不可、承認デバイスも暗号領域でのみ読み書き可能。抜き差し・コピー・削除等を全記録し、ルールを“自動執行”へ転換しました。

認証・パスワード強化
端末パスワードの長さ/複雑度、90日更新、弱パスワード禁止、失敗回数超過で自動ロックを実施。加えて1分無操作で自動ロック（解除不可）を設定し、覗き見や誤操作を抑止しました。

ソフトウェア管理
ホワイトリストを中心に、承認済みソフトのみ実行可能。未承認ソフトは自動ブロックし、高リスクツールは強制アンインストール。資産台帳（バージョン、導入時刻、責任者）を維持し、監査と運用の精度を向上しました。

端末紛失に備え、ディスク暗号化を集中管理し、鍵は企業が統制。ユーザーが無効化できない構成により、紛失時も情報を保護。包括的ログ監査で文書アクセス/持ち出し、USB、ポリシー変更、ログイン等を記録し、現地審査で「実装と運用」を明確に示しました。

ログとフォレンジック監査
主要イベントを集中保管し、人物/端末/時刻/種別で横断検索。認証審査・日常点検の双方で“説明可能で追跡可能”な証跡を担保しました。

3. 効果と価値

TISAX AL2 の現地評価では、以下が重点でした。

• ● 技術的な防護が実装されているか

• ● 重要リスクがカバーされているか

• ● 監査記録が真正で追跡可能か

Ping32 の統合管理と監査レポートは高く評価され、同社は認証を取得。国際サプライチェーンでの信頼性を高め、海外展開と協業拡大の基盤を確立しました。さらに「受動的コンプライアンス」から「能動防御・継続運用」へと進化し、上位市場への挑戦を支える体制となりました。

4. Ping32 が実現する「監査可能なセキュリティ能力」

TISAX は外部要求ではなく、内部統制を高度化する機会です。Ping32 は“規程を実行に落とす仕組み”を提供し、リスクを可視化し、監査で検証できる状態を支えます。中国系自動車企業の海外進出が加速する中、イノベーションと安全性の両立が競争力を左右します。Ping32 は今後も自動車・製造業と伴走し、信頼される情報保護でグローバル成長を支援します。