自動車業界におけるサイバーセキュリティ:Cyber Security Management System(CSMS)とは?

自動車のサイバーセキュリティ対応は法規となり、自動車業界では避けては通れません。今まで取り組んできた自動車の安全性に加え、自動車のライフサイクル全体でのサイバーセキュリティ(CS)対策を可能にする組織作りが必要になります。

DNVは、従来の機能安全サービス(ISO 26262)での強みを活かしながら、2018年1月に立ち上げたCybersecurity LABが中心となり、自動車セキュリティサービスを提供しつつ、両分野のスペシャリストが協調して自動車のSafety & Securityをワンストップで提供することが可能です。  





自動車開発の対象となる法規はUN-R155、
国際規格はISO/SAE 21434

国連のWP29サイバーセキュリティタスクフォースにおいて、車両のライフサイクル全体にわたり、CSを確保するための要件などを含めたUN-R155が発行されました。具体的な参照先の国際規格として、ISO/SAE 21434:2021が2021年8月に発行されましたが、ISO/SAE 21434:2021は、UN-R155の全ての要件には対応していない為、UN-R155のみに記載のある要件にも留意し、対策を取る必要があります。

また、車両のセキュアなOTAをサポートするための法規もUN-R156として策定されています。
車両開発の対象となる法規はUN-R155、国際規格はISO/SAE 21434





CSMSに求められているものとは?

CSMSでは大きく分けて3つの要求事項があり、「組織全体のセキュリティ方針、サプライチェーン管理」や「製品開発時における適切なサイバーセキュリティ対策をとるためのプロセス」に加え、「製品開発及び運用時における脆弱性監視やハンドリングをするためのプロセス」が必要なります。また、機能安全規格(ISO 26262)と同様に能力管理も求められており、サイバーセキュリティ対応における人材育成も急務となります。
DNVでは、CSMS構築のために、以下のサービスを提供しています。

• CS開発プロセス構築支援
• CS開発におけるリスク分析支援
• PSIRTプロセス構築支援
• PSIRT監視&トリアージ運用代行支援
• プロセス適合性評価
• 自動車セキュリティトレーニング





CS開発プロセス構築支援

本支援では、「組織全体のセキュリティ方針、サプライチェーン管理」」や「製品開発時における適切なCS対策を図るためのプロセス」に関連する規程やプロセス、帳票類などを提供し、早期に自社組織への落とし込みが可能になります。また、規格解釈等についてのアドバイザリも併せて提供します。

CS手順書・帳票の雛形(全80ファイル以上)
UN-R155とISO/SAE 21434の要件解説書、Tips集(全30ファイル以上)

CS開発プロセス構築支援





CS開発におけるリスク分析支援

CS対応において、従来の開発工程と大きく異なる点は、セキュリティ関連のリスク分析になり、この分析作業は、セキュリティ分野の中でも特に習得が難しいと言われています。一般的には、脅威分析と呼ばれ、車両のCSを侵害する事象を可視化するための分析作業であり、攻撃実現可能性算定や影響算定等とセットにして実施されます。その結果、受容できないリスクに対して、何かしらのCS対策を検討する必要があります。また、これらの分析作業は、CS論証を行う上で非常に重要な作業となります。
CS開発におけるリスク分析支援

本支援では、経験豊富なエキスパート(※)が、実製品開発における分析支援を実施します。また、資産識別・アタックサーフェースの分析結果から、脅威・攻撃パスを自動的に列挙して、網羅的なCSリスク分析を支援するツールの提供も可能です。
※ DNVには、脅威分析手法の1つであるRead/eXecution/Writeに着目したRXW法や、STRIDEの弱点である被害分析を改善したTM-STRIDEの提唱者が在籍しており、自動車業界向けに支援を行っています。





PSIRTプロセス構築支援

本支援では、「製品開発及び運用時における脆弱性監視やハンドリングをするためのプロセス」に関連する規程やプロセス、帳票類などを提供し、早期に自社組織への落とし込みが可能になります。また、規格解釈等についてのアドバイザリや、PSIRT業務フローや帳票の則ったインシデント即応訓練も併せて提供します。

PSIRTプロセス構築支援





PSIRT監視&トリアージ運用代行支援

PSIRTの運用において、大きく分類すると「監視」「トリアージ」「評価」「脆弱性分析」があり、それらの中で、毎月の工数が発生してしまう「監視」「トリアージ」を弊社で運用代行するサービスを提供します。また、問題が可視化された後の脆弱性分析結果に対するアドバイザリ(一部)も提供することで、運用チームや設計現場の工数を大幅に削減可能です。

PSIRT監視&トリアージ運用代行支援





プロセス適合性評価

取引先や市場に対して、自社の取り組みを正しく伝えるための効果的なアプローチの一つであるプロセス適合性評価を提供します。自社の能力を正しく取引先に伝えるために、第三者視点による評価を活用することで、潜在&新規顧客に対して、自社の取り組みをオープンな情報として伝えることが可能です。また、自社の取り組みが業界相場から外れていないかを確認することも、本支援の一つのメリットとして挙げられます。

proces_assess_figure_r02





自動車セキュリティトレーニング

OEMやサプライヤがなすべき全体像を明らかにし、より上位のコースでは、自組織の強化すべきポイントにフォーカスした各トレーニングをご提供します
https://webmagazine.dnv.co.jp/cybersescurity.html

More information

 

ISO26262 – 自動車機能安全

 

自動車セキュリティ:自動車業界が迫られるセキュリティ対応

 

自動車業界における情報セキュリティ:Information Security Management System(ISMS)とは?

 

自動車業界におけるサイバーセキュリティ:Cyber Security Management System(CSMS)とは?

 

自動車業界におけるサイバーセキュリティ:Software Update Management System(SUMS)とは?

 

機能安全&サイバーセキュリティトレーニングコース

ISO26262, SOTIF, Automotive SPICE、SU成熟度モデル、車載セキュリティトレーニングコースのご案内

 

ソフトウェアアップデート成熟度モデル(SUMM:Software Update Maturity Model) ダウンロード

ご興味に沿った関連サービス