実務ガイド

車載の“閉域”を理由にする時の注意点
(説明責任の作り方:CVE/トリアージ/VEX)

CVE対応で「車載は閉域ネットワークだから影響なし(not_affected)」と言いたくなる場面は多いです。実際、外部から到達できない構成なら“対応不要”に寄せられるケースもあります。

ただし「閉域」を“魔法の免罪符”として使うと、OEM照会・監査でほぼ確実に追加質問が来ます。相手が知りたいのは「閉域という言葉」ではなく、次の3点だからです。

  • 境界: どこまでが閉域なのか(ECU単位?車内ネットワーク全体?)
  • 到達性: 侵入口(通信/診断/工程)が本当に無いのか、前提は何か
  • 再評価: 前提が変わったら(OTA導入/オプション追加/設定変更)どう見直すのか
導入(実務フローの全体像)

この記事は「到達性(閉域)」の評価に特化しています。CVEトリアージやVEXの全体像を先に押さえたい方は、こちらのガイドをご覧ください。

閉域は“結論”ではなく“前提条件”

車載で言う「閉域」は多くの場合、「インターネットから直接到達しない」「車内ネットワークが物理的に分離されている」などを指します。

しかし、次の入口が1つでもあると 「閉域=完全に到達不可」 とは言い切れません(=説明が必要になります)。

診断 / 整備 OBD、ディーラーツール、サービスモード
外部通信 テレマティクス、OTA、スマホ連携、Wi-Fi/Bluetooth、USB
製造 / 検査工程 書き込み治具、工場ネットワーク、検査PC
派生 / 後付け オプションECU、地域/顧客別構成、後付け機器

つまりOEMに通る説明は「閉域です」で終わらず、 閉域“なので”成立しない条件を、境界・証跡つきで示す必要があります。

まず押さえる:OEMが“閉域主張”に突っ込む典型質問

「閉域だから影響なし」と返すと、だいたい次を聞かれます(先回りして書けば工数が減ります)。

  • どのECU/どの機能が対象?(対象版数・搭載箇所)
  • 入口は本当に無い?(診断/整備/OTA/近距離IFの扱い)
  • 前提条件は?(機能OFF、認証ツールのみ、工場限定…)
  • 前提が崩れたら?(再評価トリガーと責任者)
  • 根拠はどこ?(参照できる証跡:図、仕様、設定、SBOM行など)

兼務でも破綻しない:閉域を理由にする時の手順(6ステップ)

ここから“やり方”です。閉域主張を説明責任に耐える形に落とします。

Step 0

まず“対象版数”を切る(閉域以前の前提)

  • SBOM/構成表で「当該コンポーネントが入っている製品・版数」を確定(暫定でも可)
  • 対象版数が曖昧だと、閉域の議論以前に差し戻されます
Step 1

閉域の“境界”を1行で定義する(ECU単位が基本)

「当該ECUは外部ネットワーク(セルラー/BT/Wi-Fi/USB)を持たず車内CANのみ接続。車外からの直接到達経路は存在しない。診断は整備時のみ、認証済みツールで限定的に実行。」

→ “閉域”の意味を、対象ECU・接続・例外(診断など)まで含めて固定します。

Step 2

到達経路チェック(4箱)で“入口”を潰す

最低限この4箱だけ埋めれば、説明の骨格になります。

A. リモート: テレマティクス/OTA/クラウドの有無
B. 近距離: BT/Wi-Fi/NFC/スマホ連携の有無
C. 物理: USB/SD/診断ポート/サービスモード有無
D. 工程: 製造/検査/書き込み治具のNW接続有無

“全部No”なら閉域主張は強い。Yesが混ざるなら、成立条件(権限、認証、手順、通常運用か例外運用か)を書き足します。

Step 3

前提条件(“影響なし”が成立する条件)を明記する

閉域を理由に not_affected にするなら、前提条件を1〜2行で固定します。

  • 「診断機能は出荷設定で無効。整備時のみ認証済みツールで有効化」
  • 「当該機能は本製品構成ではビルドOFF(設定変更時は再評価)」

ここを書かずに「影響なし」を断言すると、後で前提が崩れて再炎上します。

Step 4

VEX(結論)を“条件付き”で決める

  • not_affected: 非搭載/到達性なし(閉域)を根拠に。ただし前提条件と証跡が必須
  • under_investigation: 入口(診断/OTA等)の実態が未確認なら、結論を急がず更新日を付ける
  • affected: 到達性があるなら、暫定対策と恒久対策へ(閉域は免罪符になりません)
Step 5

成果物(説明責任セット)を残す

閉域主張で必要な成果物は、難しい報告書ではなく“3点セット”で十分です。

  • 境界の根拠: 簡易ネットワーク図/IF一覧(機密は粒度を落として可)
  • 前提の根拠: 設定値、仕様書該当箇所、整備手順の参照先
  • 判断の根拠: 判定者、確認日、参照したSBOM行/構成表ID
Step 6

再評価トリガー(ルール)を決める

「閉域だから影響なし」は“永久”ではありません。次が起きたら再評価、をルール化します。

  • OTA導入・通信モジュール追加・スマホ連携追加
  • 診断手順/サービスモードの変更
  • 既定設定の変更(機能ON/OFF、認証方式変更)
  • 顧客別派生やオプション構成の追加

判断を資産化する(追加質問と再調査を減らす)

閉域主張は「同じ説明を何度もする」になりがちです。決定理由をテンプレで固定すると、次回から早くなります。

実務テンプレ

影響評価の決定理由を記録し、次回以降の判断を資産化するシートはこちら。

OEMにそのまま貼れる:閉域を理由にする回答テンプレ(例)

使い方: メール/回答書に貼って【 】を埋めます。断定より“条件付きで説明できる形”が目的です。

件名:CVE-【____】 調査結果(一次回答) 結論(VEX):not_affected(条件付き) 対象製品/版数:【製品名】 v【】〜v【】(暫定/確定) 対象箇所(ECU/機能):【ECU名】【機能ブロック】 理由(到達性): 当該ECUは【外部IFなし/限定】で車内【CAN等】のみ接続。通常運用でリモート/近距離/物理の到達経路は成立しない。 条件(前提): 【診断無効/整備時のみ認証済みツールで有効化/ビルドOFF】。前提が変わる場合は再評価。 証跡:【IF一覧 Doc-】【設定 Config-】【SBOM行ID __】 次回更新:【変更発生時に再評価】 または 【YYYY-MM-DD】

自社製品の構成に合わせて「閉域」の回答方針や対応範囲を整理したい方はご相談ください。

【無料】オンライン相談を予約する

FAQ:到達性・閉域の評価について

Q1. 「閉域だから影響なし」と書いていいですか?

“閉域”だけの断定は避け、境界・到達経路・前提条件・証跡をセットで書けば通りやすくなります。

Q2. 診断ポートがある場合、閉域は使えない?

使えます。ただし「整備時のみ」「認証済みツールのみ」など成立条件を明記し、条件付きの not_affected にします。

Q3. under_investigation(調査中)で返す時の必須は?

次回更新日(SLA)と、未確定点(入口の実態、対象版数、前提条件)を明記することです。

Q4. どの粒度で証跡を残せばいいですか?

機密を出しすぎる必要はありません。最低限「IF一覧(粒度を落として可)」「設定/手順の参照先」「SBOM行ID/構成表ID」の3点があれば監査で再現しやすくなります。

Q5. “閉域”主張はいつ見直すべきですか?

OTA/通信の追加、診断手順変更、既定設定変更、派生構成追加が代表的トリガーです。再評価ルールを決めておくと説明が強くなります。

次に読む

脆弱性評価の起点となる「CVE」の番号の意味や基礎知識はこちらへ。

「影響なし」の根拠説明、毎回手作業で書いていませんか?

Auto PSIRT Cloudなら、自社の製品構成(外部IFの有無など)をシステムに登録しておくだけで、AIがCVE情報から到達性を推測し、OEM提出用の「影響なし(条件・根拠付き)」レポートを自動生成します。

Auto PSIRT Cloudの運用画面をデモで確認する