果たしてISO/SAE 21434とUN-R155(CSMS要件)は相容れるのか - これからのくるまのセキュリティを考えるぶろぐ

前回はテュフ社のサービスを見ました
テュフ社のお考え
pwc社のお考え
いったい何が違うのか

前回はテュフ社のサービスを見ました

前回、テュフラインランドジャパン社が提供している自動車のサイバーセキュリティ認証に関わる支援サービスを見てきました。

今回は、前回の最後にも書きましたがテュフ社の連載記事を眺めつつも、他の会社様の考え方と比較してみようと思います。比較すべきはタイトル通り、ISO/SAE 21434とUN-R155(CSMS要件)は相容れるのかという点です。同内容について触れているpwc社さんの考え方と一緒に見ていきたいと思います。

テュフ社のお考え

まずは前回からの流れを受けテュフ社の考え方から見ていきましょう。

ずばりこちらに記載されてますが、

ISO/SAE 21434適合だけでは、UN-R155/R156のサイバーセキュリティ要求に適合できない

というのがテュフ社の意見のようです。理由付けとしてもう少し記載されているのが、

UN-R155付則５ではリスク軽減策について、最小限の要求が定義されています。すべての車両は、この最小限の要求を明確化し、実装しなければなりません。一方ISO/SAE 21434は、車両の開発初期から廃棄までのライフサイクル全般に関わるリスクを対象としており、最小限のリスク軽減策の要求に関して定義されていません。

という点です。CSMS要件は最低限のことしか求められていないので、それだけを実装した状態で型式認証が通るのか、という問題提起ですね。ちなみにちなみに、CSMS要件を振り返る際はこちらの2つをどうぞ。

ただし、テュフ社も大前提として、ISO/SAE 21434がCSMS要件を満たすためのガイドラインとして活用できるものである、とも考えており、どう補っていくかを論じています。そこで適用範囲が異なる部分を取り上げています。

ISO/SAE DIS 21434の適用範囲は、インターフェイスやコンポーネントを含む量産型自動車の電気/電子システムと規定されており、外部のインフラに対する要求事項などは規定されていません。一方UN-R155の適用範囲は、車両以外の外部インフラ(例：バックエンドサーバー)も含まれて規定されています(附則５、パートC 車両外部の脅威への低減策)。

これまでの記事の中で、CSMS要件では組織論も展開されていることを記載してきました。車両システムそのもののセキュリティだけでなく、ハードウェアやソフトウェアを設計･開発する開発部門、それらの品質を管理する品質管理部門、脆弱性を監視し対応するPSIRTにも要求事項があるわけですから、自動車の電気/電子システムを適用範囲としているISO/SAE 21434では不足してしまいますね。

じゃあ不足している部分はどうしましょうか、という話になるわけですが、

現時点ではUN-R155の解釈に関する明確なガイドラインや基準もないので、求められる要求の対応策案を作成し、都度、認可当局への確認が必要

といったようにテュフ社としては結論付けています。

pwc社のお考え

次にpwc社の考え方についても見てみましょう。

サイバーセキュリティ法規基準との対応性に関しても、WP29内でしばしば議論されている通り、一定の十分性を有すると考えられています。

のように、ISO/SAE 21434とCSMS要件には親和性があると述べています。また、下記の記載を見ると、

UNECE WP29 GRVA サイバーセキュリティ法規基準およびISO/SAE 21434における要求事項は多くの組織に適用できるよう抽象化されており、それゆえ一部、解釈の余地を残しています。法規基準と国際標準規格の要求への対応をどのように具体化し、自組織や自社製品に落とし込むか（テーラリング）は各組織に委ねられます。客観的かつ十分な論拠と証跡をもって、論証を成立させることが求められます。

実質的な主張内容としてはテュフ社とそれほど違いは無いと考えますが、相容れないので不足点を補おうというテュフ社に対し、最初からテーラリングをしていきましょう、という姿勢がちょっと違うかなと思いました。ちなみにテーラリングですが、

テーラリングとは、（洋服の）仕立て、仕立て直し、という意味の英単語。ITの分野では、業務プロセスやシステム開発プロセスなどについて、規格や全社的な標準などを元に、個別の部署やプロジェクトに合った具体的な標準を策定することをこのように呼ぶ。

とe-Wordsに記載されています。初めから標準的なものでしかないと位置付けた上で、それを柔軟に活用していこう、という発想をpwc社はされているようです。テーラリングとかって言葉をさらっと使えるようになると、なんかカッコいいですね。さすがコンサルティングファーム様。

いったい何が違うのか

記載内容だけを見るとテュフ社とpwc社の考え方に本質的な違いは無いのかもしれません。ただ実際にCSMS要件対応プロジェクトをやるぞーとなった際には、アプローチに大きな違いがでるかもしれません。

例えばあまりリソースをかけたくない中小企業で考えるならば、テュフ社のようなきっちりと自分たちの考えを提示してくれる方が、楽ちんかもしれませんね。丸投げとは言いませんが、実際前回の記事でもご紹介したようにテンプレートも用意されているようなので、ナビ通りに当てはめていくという進め方ができると思われます。

一方、OEMやTier1サプライヤーのように自分たちできちんと理解した上で運用が求められるような大企業で考えるならば、共にCSMS要件をきちんと理解しISO/SAE 21434をテーラリングしてくれるpwc社さんのような会社をパートナーとした方が進めやすいかもしれません。

わたしのように実務に携わる可能性がある者からすると、こういった点に思いを馳せる必要があるわけです。単に規約を理解すれば良いだけでなく、社内に浸透させ長く運用管理していくことはとても難しいからです。それぞれの企業体に適したアプローチを選択すべきと考えます。