サイバーセキュリティ対応: Automotive SPICE® for Cybersecurity

製品開発における適切な遂行能力を実証する方法として自動車業界用で適用されているAutomotive SPICE® (以下A-SPICE)でも、サイバーセキュリティに関するプロセスが補完されたAutomotive SPICE® for Cybersecurity (以下A-SPICE for CS)が発行されました。

Cybersecurityの重要性

自動車業界では「CASE」をはじめとした大きな変革が起きています。「CASE」の「C」の「Connected(コネクテッド)」は通信機能を意味しており、自動車のIoT化、インターネット接続はすでに当たり前となってきています。通信機能を利用しての運転支援機能や自動運転等が普及し始めており、利便性が高まっています。

その一方、その通信機能を狙った様々なサイバー攻撃による安全性、プライバシーなどへのリスクが高まっており、自動車を狙ったサイバー攻撃も年々増加しています。 もし、サイバーセキュリティへの備えを怠っていたことにより事故、損害などが発生してしまった場合、会社の信用低下などによる企業ブランドイメージの失墜や社会への大きな損害につながる可能性があります。 そのため、完成車メーカからサプライヤに至るまで、サイバーセキュリティへの備えは「社会的責任」として必須であり、急務となっています。

こうした動きを受け、2020年6月には、国連欧州経済委員会(UNECE)の下部組織である自動車基準調和世界フォーラム(WP29)から、自動車のサイバーセキュリティ法規「UN-R155」、ソフトウェアアップデート法規「UN-156」が採択されました。 2021年8月には、国際標準規格としてISO/SAE 21434 自動車—サイバーセキュリティエンジニアリングが発行されました。 また、製品開発における適切な遂行能力を実証する方法として自動車業界用で適用されているAutomotive SPICE® (以下A-SPICE)でも、サイバーセキュリティに関するプロセスが補完されたAutomotive SPICE® for Cybersecurity (以下A-SPICE for CS)が発行されました。






A-SPICE for CSで定義されたプロセス

サイバーセキュリティ関係の開発プロセスの評価を行うために、A-SPICEを補完するための6つのプロセス(セキュリティエンジニアリングプロセスグループの4プロセス、取得プロセスグループへの1プロセス、管理プロセスグループへの1プロセス)が A-SPICE for CSに新たに定義されました。A-SPICEのアセスメントが実施されていることが前提のため、未実施の場合は、A-SPICEとA-SPICE for CSの両方のプロセスをアセスメントする必要があります。 新たに定義されたプロセスは以下になります。

SEC.1
サイバーセキュリティ要件抽出プロセス システム開発、ソフトウェア開発の要件抽出、要件分析時にサイバーセキュリティゴール及びサイバーセキュリティ要件を導出するプロセスです。

SEC.2
サイバーセキュリティ実装プロセス システム開発、ソフトウェア開発のアーキテクチャ設計、詳細設計、ユニット構築時に、サイバーセキュリティ要件を実装するプロセスです。

SEC.3
リスク対応検証プロセス システム開発、ソフトウェア開発の検証時に、サイバーセキュリティ要件、アーキテクチャ設計、詳細設計を順守していることを確認するプロセスです。

SEC.4
リスク対応妥当性確認プロセス システム開発の妥当性確認時に、サイバーセキュリティゴールを達成していることを確認するプロセスです。

ACQ.2
サプライヤー依頼及び選定プロセス サプライヤーを評価し、契約合意に関するプロセスです。

MAN.7
サイバーセキュリティリスク管理プロセス サイバーセキュリティリスクの識別、分析、継続的な監視と制御を行うプロセスです。






A-SPICE for CSとISO/SAE 21434の範囲の違い 

ISO/SAE 21434は、自動車のライフサイクル全般にわたったサイバーセキュリティ対策についての要求事項がまとめられており、組織レベルのサイバーセキュリティマネジメントからプロジェクトレベルまで、調達から、開発、生産、運用、保守、廃棄までとなっています。

一方、A-SPICE for CSは、プロジェクトレベルのシステムエンジニアリング/ソフトウェアエンジニアリングに関するプロセスに強くフォーカスしています。A-SPICE for CSのアセスメントでは、プロジェクトのプロセスと作業成果物に着目し、開発プロセスを定量的に測定し、可視化し、評価することができます。能力レベル2、3までをアセスメントすることで、サイバーセキュリティプロセスが計画され、管理され、確立されているかの評価が可能になります。アセスメントで強み、弱みを発見し、サイバーセキュリティプロセスを組織内(他プロジェクトも含めて)で活用されるプロセスへと改善していくことができます。

ISO/SAE 21434に対してA-SPICE for CSが主に対応する範囲を以下に示します。






[関連ページ]
開発におけるベースプロセス:Automotive SPICE®




A-SPICE for CSに対応したサービス

定期的に開催しているオープンコースに加え、個社向けのクローズドコースも提供しています。
intacs認定のA-SPICE for CSアセッサ育成トレーニングを提供しています。
UN-R155やISO/SAE 21434を始め、車載サイバーセキュリティに関する様々なトレーニングも提供しています。
https://webmagazine.dnv.co.jp/fs#training_top

・ギャップ分析

 ASPICE for CSと組織標準やプロジェクトでの運用状況とを比較し、ギャップを抽出し、改善点を識別し、改善提案いたします。


・プロセス構築/改善

 ASPICE for CSを実装するための組織標準プロセスの構築や改善、プロジェクトでの運用をサポートいたします。


・アセスメント

 公式アセスメント実施や内部アセスメントの支援をいたします。