注目の話題

自動車整備事業者が知るべき「サイバーセキュリティー対策」のポイント

#OBD車検
#サイバーセキュリティー対策

長谷川明憲 2026.05.18

データが示す実態：標的は「大企業」から「地域の整備工場」へシフトしている
現場の要点：「うちの工場は大丈夫」という根拠のない放置はNG
自動車整備事業者が採るべき3つの具体的なアクション
トラブルを防ぐ「インシデント発生時の初動対応」の策定
まとめ：セキュリティー投資は「コスト」ではなく「経営基盤の防衛」

OBD（車載式故障診断装置）車検の本格運用や車検証の電子化、さらには車両のコンピュータ化（コネクテッドカー）の普及により、自動車整備業界における「デジタルツールの活用」は事業継続の必須条件となった。

一方で、それに伴い急増しているのが整備工場を狙ったランサムウェア（身代金要求型ウイルス）などのサイバー攻撃である。

本記事では、「自社には盗まれて困る情報などない」という危険な誤認識を改め、自動車整備事業者が顧客や元請け（ディーラー、大手販売店等）からの信用を失わず、自社の経営を守り抜くための具体的なセキュリティー対策のポイントを解説する。

データが示す実態：標的は「大企業」から「地域の整備工場」へシフトしている

独立行政法人情報処理推進機構（IPA）が毎年発表する「情報セキュリティ10大脅威」において、近年常に上位を占めているのが「サプライチェーンの弱点を悪用した攻撃」である。

自動車業界においては、強固なセキュリティー網を持つ自動車メーカーや大手ディーラーを直接狙うのではなく、セキュリティー対策が手薄な「地域の取引先（部品商や下請けの整備工場）」のシステムをまず乗っ取り、そこを踏み台にして本命のネットワークへ侵入する手口が常態化している。
「自社のセキュリティーの甘さが原因で、元請けディーラーのシステムをダウンさせてしまった」という事態になれば、損害賠償問題に発展するだけでなく、今後の取引停止は免れない。もはやサイバーセキュリティーは「ITの課題」ではなく、下請け作業を受託するための「取引条件（コンプライアンス）」となっているのが実態である。

現場の要点：「うちの工場は大丈夫」という根拠のない放置はNG

自動車業界全体で「自工会/部工会サイバーセキュリティガイドライン」などの遵守が求められる中、元請け企業やフリート契約を結ぶ法人顧客は、委託先の情報管理体制に厳しい目を向けている。以下のようなずさんな管理は、重大なインシデントを引き起こす要因となる。

2025年10月にサポートが終了した「Windows 10」のパソコンを、インターネットに接続したまま使い続けている。
顧客管理システム（DMS）や部品発注システムの「ID・パスワード」を、工場内のホワイトボードに書き出し、全従業員で使い回している。
車に接続する「スキャンツール（外部診断機）」と同じWi-Fiネットワークを、来店客用のフリーWi-Fiとしても提供している。

これらは、情報漏洩やウイルス感染の「入り口」を自ら開け放っている状態であり、早急な是正が必要である。

自動車整備事業者が採るべき3つの具体的なアクション

経営者は「システム担当者任せ（あるいはリース会社任せ）」にするのではなく、自社の資産と信用を守るために以下の3つの行動を実践すべきである。

IT資産の棚卸しと「ネットワークの分離」
まずは工場内にあるすべてのパソコン、タブレット、スキャンツールのOSが最新（Windows 11など）にアップデートされているか、サポート切れの端末が放置されていないかを確認する。
さらに、業務用のネットワーク（顧客データやスキャンツールを扱う回線）と、従業員の私的利用や来店客用のネットワーク（Wi-Fi）は、ルーターの設定等で必ず「分離」させることが鉄則である。
「多要素認証」の導入とパスワード管理の徹底
部品発注システムや電子車検証の閲覧アプリ、顧客管理クラウドなど、重要なシステムにログインする際は、ID・パスワードに加えて、スマートフォンへのSMS認証などを組み合わせる「多要素認証（MFA）」を必ず設定する。
また、退職した従業員のアカウントは即座に削除・無効化し、不正アクセスの余地をなくす仕組みを構築する。
従業員への教育と「不審なメール」の報告ルールの徹底
セキュリティーの最大の穴は「人」である。車検の予約や見積もり依頼を装った巧妙な標的型メール（Emotetなど）による被害が後を絶たない。
「差出人に心当たりがない、または少しでも不自然な添付ファイル（ZIPやWord等）は絶対に開かない」という基本ルールを朝礼などで繰り返し周知する。