GUIDES YOUR
CYBER-RESILIENCE JOURNEY.
米国商務省コネクテッドカー
規制対応支援サービス
2027年に向け、米欧OEMは既に運用設計着手。
認証部門のみの課題に留まらない
曖昧な法規要件の具体化から、開発プロセスでの運用落とし込みまで支援
「このソフトウェアに、中国・ロシア支配下の人物・法人が関与していないと言えますか?」
「内製ソフトウェアをソフトウェア部品表(SBOM)に記録していますか?」
「サプライヤがOSSを改変して利用していませんか?
誰が、どう改変しましたか?」
これらはいずれも、2027年以降米国商務省により、車載コネクテッドシステム・自動運転システムのソフトウェアに対し問われる事項の一例です。 1つでも回答できるか不安に感じられた場合、是非このページをご覧いただければ幸いです。
●Rule summary
規則概要
2025年3月、米国商務省が定めたコネクテッドカー特化のサプライチェーン規制に関する最終規則(以下、「本規則」)である
”Securing the Information and Communications Technology and Services Supply Chain: Connected Vehicles”が発効しました。
米国政府は、中国・ロシア政府が自国を本拠とする企業への影響力を用いて、米国内のコネクテッドカーに脆弱性を作りこみ悪用することで情報収集・安全保障政策に利用する可能性を脅威として認識しています。その対策として、中国・ロシア支配下の人物・法人が関与した車載コネクテッドシステム・自動運転システムのソフトウェアを含むコネクテッドカーを販売・輸入することを、モデルイヤー2027以降原則的に禁止することを決定し、本規則を定めています。(なお、モデルイヤー2030以降は、車載コネクテッドシステムのハードウェアにおける中国・ロシア支配下の人物・法人の関与も禁止する予定です。)
規制対象となるソフトウェアは、車載コネクテッドシステム・自動運転システムの実行に関わるアプリケーション・ミドルウェア・OS(ホストOSのハイパーバイザも含まれる見込)と幅広く設定されています。
1)ペアメタルのハイパーバイザがOSの一種として規制対象になるか、あるいはファームウェアとして対象外になるか、明確な見解は示されていない(米国商務省確認中)
注: 上図に含まれる製品種類は、規制原文に記載されたもののみを記載したものであり、全量であることを保証するものではない。
今後、米国商務省からの指針等で規制対象・対象外の製品が追加される可能性がある。
© 2025 Syn-Resilient Co,. Ltd. All rights reserved.
日本の自動車業界も、米国仕向けの車両に関与している限りは決して無視できません。
本規則では、中国・ロシア支配下の人物・法人が関与していなくとも、米国外の人物・法人が関与したソフトウェアは”Covered Software“に分類されます。“Covered Software”を米国仕向けのコネクテッドカーまたは車載コネクテッドシステムのハードウェアに組み込む場合、それらの製造業者には本規則への適合を示す「適合宣言(”Declerations of Conformity”)」の事前提出が求められます。
米国商務省は株主構成等も考慮して“Covered Software”への該当有無を判断するとの見解を示していることから、日本企業の米国法人が開発したソフトウェアでも、原則的には“Covered Software”に含まれると予想されます。
「適合宣言」では少なくとも7種類の提出物作成が求められており、例えば以下の様に、開発・調達プロセスで取引先およびソフトウェアサプライチェーン全体で協力して情報収集しなければ作成困難なものも含まれています。
● SBOM等作成・適宜第三者評価による“Covered Software”のデューデリジェンス実施の証明
● 中国・ロシア支配下の人物・法人によって“Covered Software”が設計/開発/供給されていない旨証明
● サプライヤの文書・評価結果を、製造業者が米国商務省に提供可能な旨の証明
したがって、OEMで準備が必要なのはもちろんのこと、サプライヤの場合も、OEMから「適合宣言」の提出に必要な情報が求められる可能性が高いです。
本規則への違反や、適合宣言等当局手続での虚偽申告が発覚した場合、貴社の製品が米国で販売できなくなるだけではなく、最大100万米ドル(約1.5億円)の罰金が刑事罰として科せられる他、米国政府が安全保障上の脅威として名指しする国家を利しているというレッテルを貼られることでのレピュテーションリスクも考えられ、事業リスクとしても無視できません。
上記は本規則の内容の一部しか網羅できておらず、ここに記載した以外にも様々な要件や、細かい用語の定義・判断例等が規制原文の内外で示されています。本規制の趣旨や各要件の意味を正しく理解して、2027年に間に合うよう十分時間に余裕を持って運用設計することが必要です。
●assignment
対応上予想される課題
米欧OEMは、既に本規則に対応するための運用設計に着手しています。
2027年1月に米国上市するコネクテッドカーの場合、遅くとも2026年10月には「適合宣言」を提出必要です。
そのための準備作業で求められるタイムラインはより早期になることを考えると、残された時間は決して多くはありません。
一方、日本企業における対応にあたっては、以下の課題に直面すると予想されます。
そもそも、法規要件が分からない
単に英語が分からない、米国法の表現が難解で読みにくい、等の外国法規対応にありがちな問題には留まりません。本法規の要件自体が曖昧であり、解釈の余地が多分に残されています。実際、米欧OEMですら要件理解に苦慮しており、米国商務省・現地法律事務所に多数の問い合わせが集中しています。
このことが原因で「やるべきことが分からない」状態に陥り、社内での担当部門・役割分担を決められず、認証部門等のアクション待ちになっている企業も少なくないと推察します。
ソフトウェア管理が、本規則の求めるレベルとギャップがある
本規則は、中国・ロシア支配下の人物・法人が関与したソフトウェアを原則禁止しています。中国・ロシア支配下の人物・法人が関与していないことを証明するには、「そもそも誰がソフトウェアに関与したか」を、サプライチェーンの末端まで記録することが必要です。この点には課題をお感じの企業も多いと認識しており、今後開発プロセスの中でいかに現実的な運用に落とし込むか、検討は容易でないと予想されます。
また、大きな要求事項の1つとして、“Covered Software”に含まれるソフトウェア部品を、内製ソフトウェア・COTSも含めSBOMに記録し、米国商務省の求めに応じて提出可能なようにすることがあります。日本の自動車業界では、SBOMはOSS管理の取組の一環として進められてきた企業が多い傾向にあるため、SBOMに関する運用を本規則対応に向け大幅アップデート必要になると予想されます。
外部共有を想定したSBOMを作れていない
日本の自動車業界では、SBOMは型式認証取得上準拠必要な脆弱性監視要件への対応、またはOSSライセンスコンプライアンスのためのOSS・ライセンス一覧としての利用等、社内向けのデータとして整備されてきた傾向にあります。
そのため、社外、ましてや規制当局に提出を想定したデータ様式・品質まで、そもそも求めていない企業も少なくないと推察します。
実態として、SBOMに関する研究および弊社支援事例を踏まえても、現在流通しているSBOMが、作られたままの状態で信頼できるとは言えません。
弊社では、車載ソフトウェア開発におけるプロセス改善やSBOM・OSS管理の 運用構築の実績、および本規則に知見を有する米国現地の規制当局・有識者とのコネクションを活用し、お客様の課題を乗り越え本規則への対応を 実現するまでを支援します。
●SERVICE LINEUP
サービスラインナップ
以下のサービスは同時並行・1つのみ単独でのご発注も可能です。
LINEUP 01.
本規則の対応アドバイザリ
弊社が、本則に関するご不明点への回答や、対応に向けたスケジュール整理等を支援します。
本規則の内容解説から、“Covered Software”および禁止取引に該当するソフトウェアの特定、必要手続の仕分けに向けた判断基準整理や個別ケースへの見解提示、貴社開発プロセスでの必要対応整理等、規制対応への準備に向けご希望の支援を提供可能です。
原則的には規則原文・当局見解、現地有識者見解に立脚して見解を提示します。判断困難なケースがある場合も、規制当局への勧告的意見申請支援を通じて、当局見解が得られるよう支援することも可能です。
成果物は、支援内容に応じてご提案致します。
一定の時間枠内でお打ち合わせ・調査等、タイムチャージ形式でのご支援も可能です。
LINEUP 02.
ソフトウェア部品管理・SBOM運用ルール設計
本規則の対応に向けては、COTS・内製ソフトウェア部品のSBOM管理や、OSS改変の特定等、ソフトウェア部品管理に関する課題が多々発生すると想定されます。弊社は、必要対応を規則原文・当局見解に立脚して整理しつつ、貴社内で運用可能なようプロセス・ルールに落とし込むまでを支援します。
また、弊社ではSBOMツール選定支援サービスを通じて、60以上のSBOMツールの仕様調査を実施しております。この知見を活かして、貴社が既に導入済のSBOMツールをいかに本規則対応へ活用していくか、あるいはツールの切り替え・追加が望ましいか、利用機能や代替・補完ツールまで踏み込んだご提案も可能です。
(想定される課題の例)
● COTSをSBOMに正しく記録するため、どのように情報取得・SBOMフォーマットに変換するか?
● 内製ソフトウェアをどのような粒度でSBOMに記載するか?
● プロジェクト内のどれがOSSで、誰がどう改変したか、現実的にどう特定するか?
成果物として、スプレッドシート形式(Excel)の運用業務一覧の他、社内文書としての展開を想定した業務規程・マニュアルを貴社様式で作成することも可能です。
LINEUP 03.
本規則要件に対するSBOMクイックレビュー
弊社が、貴社が作成・取得したSBOMをレビューし、米国商務省の求めに応じて提出する上での要改善事項をレポートします。規則原文・当局見解で明示されたSBOM要件の他、社外である規制当局に提出するSBOMとして問題が生じないかというポイントも加味し、主に以下の観点からレビューします。
● 米国商務省規制が要求する情報項目が網羅されているか
● 必要情報の記載不備が無いか(例:記載漏れ、リンク切れ)
● 記載内容に矛盾が無いか(例:公知情報との不一致等、虚偽申告が疑われる記載の有無)
● 記載内容から、ソフトウェアを一意に特定可能か
● COTS・内製ソフトウェア部品・改変OSSが、ルールに沿って正しくSBOMに反映されているか
(サービス2.ソフトウェア部品管理・SBOM運用ルール設計 と併用頂いた場合)
レポートはスプレッドシート形式(Excel、Google Spreadsheet、CSV)の表で提供し、ご報告・質疑対応させて頂きます。
レポートでは、不備発生箇所、不備のカテゴリ・内容、修正しない場合に予想される影響を表に整理して提供します。修正進捗管理欄も設けることで、以降自社で修正を進める際の進捗管理も容易です。
適宜、SBOMの修正案ご提案・修正代行や、再発防止に向けたSBOM運用改善のご提案もオプションで可能です。
詳細はSBOMクイックレビューサービスの紹介ページをご覧ください。
サービスをご希望の場合は
お問い合わせフォームよりお気軽にお問い合わせください。
CONTACT
●STRONG POINT
弊社の強み・関連実績
本規則のようなテーマでは、「法規要件⇒開発現場運用」への落とし込みが求められると認識しております。この点で役立つ弊社の強みは以下の通りです。
01. 海外法規/国際規格調査・有識者ネットワーク構築ノウハウ
弊社の経験則上、最低でも現地有識者・お客様の現地競合と同レベルの法規理解・解釈に至らなければ、海外法規や国際規格の要件を正しく運用に落とし込むのは困難です。
弊社では本規制に関する支援にあたり、規則原文はもちろん、関連する上位・下位法規、パブリックコメント等策定過程での議論経緯、および米国商務省が公表する見解等最新情報をキャッチし、可能な限り現地で入手可能なものと同レベルの情報に基づきご説明・見解提示致します。また、弊社の海外ネットワークを通じて、お客様の現地競合にもアドバイスを提供している現地有識者や、米国商務省関係者にもアクセス可能です。
同様のアプローチは、欧州サイバーレジリエンス法(CRA)をはじめ、他の海外法規/国際規格調査・対応支援においてもお客様から好評を頂いております。
関連実績
01.
産業機械メーカーにおけるCRA対応に向けた要件整理・運用業務設計支援
1. CRA原文逐条でのCRA全要件の整理、各要件に対する対応方針・着手時期整理
02.
産業機械メーカーにおけるCRAの法規解釈・対応内容整理に向けたアドバイザリ
1. CRAの個別論点に関する、CRA原文、欧州委員会発行関連文書等を 踏まえた見解提示
03.
1. OSSライセンスコンプライアンス・セキュリティ管理に関する国際規格のプロセス要件を整理し、お客様のOSSポリシーへの要反映事項を整理
自動車メーカーにおけるOpenChain仕様(ISO/IEC 5230:2020、ISO/IEC 18974:2023)要件分析・対応支援
1. OSSライセンスコンプライアンス・セキュリティ管理に関する国際規格のプロセス要件を整理し、お客様のOSSポリシーへの要反映事項を整理
2. 個別条文の解釈につき、策定過程の議論を踏まえ検証
02. SBOMへの専門性、実務支援の実績
弊社は、自動車業界、医療機器業界をはじめSBOMへの取組が先行する業界において、SBOM導入から運用までを支援しています。単にSBOMツールでSBOMを生成・利用するだけに留まらず、時には機械可読形式のSBOMを目視で読解・手作業で作成することも厭わず、お客様が求めるSBOMの価値を実現可能な状態を担保し、実際のソフトウェアサプライチェーンの中で「使える」SBOMが流通する環境整備に貢献すべく支援を提供しております。
関連実績
01.
国内自動車メーカーにおける車載ソフトウェアのSBOM検収・不備修正支援
1. SPDX仕様不適合箇所、内容矛盾、情報欠落箇所の指摘・修正
02.
産業機械メーカーにおける欧州CRA対応に向けたSBOM要件定義支援
1.導入済SBOMツールが出力可能なSBOMにおける、CRA要件対応上の課題・解決策整理
03.
1. 実証の実作業実施。SBOMツールの運用や、json形式のSBOM手動作成・機械可読性検証を含む
経済産業省におけるSBOM実証実験支援
1. 実証の実作業実施。SBOMツールの運用や、json形式のSBOM手動作成・機械可読性検証を含む
2. ツール出力SBOMにおける、SPDX仕様・米NTIA最小要素の適合性評価
03. COTS・内製ソフトウェアを含めたソフトウェア部品管理の支援実績
OSS以外も含めたSBOM記録・脆弱性監視含むソフトウェア部品管理は、本規則以外でも要件化の流れが進みつつあります。弊社は、既に「COTS・内製ソフトウェアのソフトウェア部品管理」のテーマでお客様の支援実績を有しており、それらの実経験等を踏まえた検討の進め方や方針案をご提案可能です。
関連実績
01.
1. COTSも含めたSBOM管理・脆弱性監視要件に適合するため、利用COTSのSBOM記録に向けた運用設計
産業機械メーカーにおける欧州CRA対応に向けたSBOM運用改善支援
1. COTSも含めたSBOM管理・脆弱性監視要件に適合するため、利用COTSのSBOM記録に向けた運用設計
2. SBOMツールでの対応可否評価、国際規格に整合した記載ルール整理等を支援
サービスをご希望の場合は
お問い合わせフォームよりお気軽にお問い合わせください。
CONTACT
●FAQ
よくあるご質問
Q我が社の製品が規制対象になるか分からないのですが?
A: 貴社が車載ソフトウェアを開発しており、コネクテッドカーや、車載コネクテッドシステム・自動運転システムに搭載されている、またはその可能性がある場合、本規制の“Covered Software”に該当するソフトウェアがある可能性が高いです。まずは「1.本規則の対応アドバイザリ」で提供可能な、“Covered Software”および禁止取引に該当するソフトウェアの特定支援サービスのご利用をお勧めします。OEMから突然要求される前に準備しておくことが重要です。
Q現在使用しているSBOMがそのまま使えるでしょうか?
A: 残念ながら、現在流通しているSBOMの約9割は、規制当局含めた外部共有のためには修正が必要というのが実態です。
「3.本規則要件に対するSBOMクイックレビュー」で、現在のSBOMが米国商務省要件を満たしているか確認することをお勧めします。
QOEMからまだ具体的な要求が来ていないのですが?
A: それは準備のチャンスです。要求が来てから対応では間に合いません。今から準備することで、OEMからの評価向上と取引継続の確実性を高めることができます。
QOSS管理のSBOMは作成していますが、それでは不十分でしょうか?
A: 米国商務省規制では、“Covered Software”に該当する内製ソフトウェア、COTS、独自改変したOSSをSBOMに記録必要です(改変していないOSSは対象外)。日本の自動車業界ではOSS改変の特定や、OSS以外を含む包括的なSBOM管理ができている企業は限定的で、ノウハウやベストプラクティスの蓄積も進んでいないと予想されることから、「他社に倣え」が通用しない可能性も有ります。
弊社は、既に「COTS・内製ソフトウェアのソフトウェア部品管理」のテーマでお客様の支援実績を有しており、それらの実経験等を踏まえた検討の進め方や方針案をご提案可能です。