Cyber Security Management System (CSMS): UN-R155, ISO/SAE 21434:2021 構築支援

自動車のサイバーセキュリティ対応は法規となり、自動車業界では避けては通れません。今まで取り組んできた自動車の安全性に加え、自動車のライフサイクル全体でのサイバーセキュリティ(CS)対策を可能にする組織作りが必要になります。

背景

コネクティッド、自動運転、Software Defined Vehicle(SDV)など自動車が進化する中で、自動車を構成する電気/電子システムに対するサイバー攻撃への懸念が高まっています。

このリスクへの対応として、国連/欧州経済委員会(UNECE) における自動車基準調和フォーラムWP.29では、その傘下にある自動運転(GRVA)のCS/OTA分科会において、自動車サイバーセキュリティ規則(UN-R155)を2020年6月に採択し、2021年3月に公表しました。UN-R155には、解釈集であるInterpretation Documentが付随しており、そこから、自動車サイバーセキュリティエンジニアリングに関する国際規格 ISO/SAE 21434:2021 が参照されています。

1958協定等に加盟している各国当局は、UN-R155やInterpretation Document、ISO/SAE 21434:2021等を参考に、自動車CS法規を施行し始めました。UN-R155は、OEMのCSMSに関する能力を審査してCSMS適合証明書を発行するCSMS認定と、このCSMSに基づき自動車の電気/電子システムの設計・開発を行い、そのCS活動の帳票類を揃えてCS車両型式認定を行う、二段階認定となっています。

UN-R155には、当局がOEMを審査する際の要件が列挙されていますが、その中にはOEMによるサプライチェーン管理の要件があり、電気/電子システムを開発するサプライヤも間接的に適用されます。このため、OEMとサプライヤは、CSMSに関する規程／ルールを整えて、これらに従ってCS要求を取り纏めてCS車両型式帳票を作成し、車両やそれを構成する電気/電子システムを開発します。開発された電気/電子システムについては、CSテストやCSアセスメントを通じて、CS要求通りに実装され、期待通りであるかを確認します。また、CS車両型式を申請した車両を構成する電気/電子システムに対して、脆弱性やサイバー攻撃を監視するPSIRTを運用し、問題が確認された際には、迅速な市場措置としてのインシデント対応を図っていくことになります。

尚、CS開発においては、リプロソフトウェアの完全性検証、通信路の暗号化、暗号鍵の秘匿管理など、各種CS対策技術の適用が求められます。差分開発を行う場合は、既存のCS車両型式帳票を再利用することで、効率化されたCS開発が期待されます。CSMSに関わる一連の規程／ルールについては、定期的な内部監査を行うことで課題を洗い出し、改善を図る必要があります。こうしたCSMS活動を社内に浸透させるために、関係する社員がCSトレーニングを受講するなど、CS文化の促進が求められます。

直面する課題

UN-R155やISO/SAE 21434:2021には、多種多様な要件があり、それらに適合した社内規定／ルールを策定するには相応の工数を要します。また、策定した社内規定／ルールが、それらの要件に適合している必要もあり、要件の理解と実装には専門的なノウハウが求められます。

DNVが提供するサービス

DNVでは、UN-R155やISO/SAE 21434:2021の要件を考慮した社内規程／ルールやCS活動を記録する帳票の雛形セットを策定しており、CSMS構築支援を希望されるお客様へ、そのご提供と解説を行っています。これは、以下の図にある通り、UN-R155やISO/SAE 21434:2021の解説、CS組織・ポリシー、委託先のCSMS能力評価、CS開発に関わるCS開発プロセス、 Cybersecurity Interface Agreement（CIA）、CS計画･検証、CSリスク分析、CSテスト、CS検証、CSアセスメント、CS監査などに関する解説書、手順書、帳票や、各種技術ガイドなど、50以上の文書やシートから構成されます。

CS開発プロセス構築支援

お客様は、自社の品質規定や本来開発プロセスに、DNVの雛形セットをリンク付けることで、CSMSを迅速かつ容易に構築することができます。また雛形セットに含まれるCSリスク分析の帳票には、車両を構成するアイテム・システムの分析事例が含まれており、難解なCSリスク分析の流れを概観することができます。

雛形セットの解説として、1時間のTeams定例会合を設けて、各会合のテーマにあわせて関係者が事前に資料を読み込んでおくことで、講師からのレクチャーの理解が進みます。また疑問点などは、QAシートを活用して解決を図ります。

DNVの強み

専門性

これまで多くのOEM様、サプライヤ様のCSMS構築支援を担ってきており、経験豊かなコンサルタントが、定例Teams会合を通じてお客様の事情やレベルに合わせてご支援します。

雛形提供

CS開発プロセスについては、50ファイル/シート以上の解説書や帳票の雛形のご提供を通じて、早急なCSMS構築と理解の促進が期待されます。

Cyber Security Management System (CSMS): UN-R155, ISO/SAE 21434:2021 構築支援

More information

ISO26262 – 自動車機能安全

自動車セキュリティ：自動車業界が迫られるセキュリティ対応

自動車業界における情報セキュリティ：Information Security Management System(ISMS)とは？

自動車業界におけるサイバーセキュリティ：Cyber Security Management System(CSMS)とは？

自動車業界におけるサイバーセキュリティ：Software Update Management System(SUMS)とは？

機能安全＆サイバーセキュリティトレーニングコース

ソフトウェアアップデート成熟度モデル（SUMM：Software Update Maturity Model）ダウンロード

共有:

More information

ISO26262 – 自動車機能安全

自動車セキュリティ：自動車業界が迫られるセキュリティ対応

自動車業界における情報セキュリティ：Information Security Management System(ISMS)とは？

自動車業界におけるサイバーセキュリティ：Cyber Security Management System(CSMS)とは？

自動車業界におけるサイバーセキュリティ：Software Update Management System(SUMS)とは？

機能安全＆サイバーセキュリティトレーニングコース

ソフトウェアアップデート成熟度モデル（SUMM：Software Update Maturity Model） ダウンロード

ご興味に沿った関連サービス

航空分野の機能安全とサイバーセキュリティ

車載セキュリティ：Software Update Management Systemとは？

車載セキュリティ

ソフトウェアアップデート成熟度モデル（SUMM：Software Update Maturity Model）ダウンロード