前回はISO/SAE 21434をおさらい
テュフ社の連載記事を読み進めているところですが、前回はISO/SAE 21434を改めておさらいしてみました。
章立てから各章の概要、UN-R155(CSMS要求)との関連を見てきました。
コンセプトフェーズの進め方
当記事にはいまいち内容に一貫性がないと前回書きましたが、コンテンツとしては活用できると思いますので、勉強してみたいと思います。まずはコンセプトフェーズの深堀りから。
繰り返しになりますが、コンセプトフェーズでは、コンセプトレベルでのリスクアセスメント(脅威分析)を行い、対応すべきリスクを洗い出し、以降の活動の起点となるサイバーセキュリティの目標(サイバーセキュリティゴール)を定義します。
サイバーセキュリティ目標を決めるために、以下2つの成果物が必要となるとのことです。
- 脅威分析とリスクアセスメント(TARA)
- リスク低減策
これらの作成ステップが掲載されていますので、まずは見てみましょう。
ステップ1から5で脅威分析を、ステップ6でリスクアセスメントを行い、ステップ7で脅威に対するリスク低減策を決定し、サイバーセキュリティ目標を設定する、という流れのようです。この一連のステップを各アセットごとに繰り返し、評価、対策を決定していきます。
尚、この7ステップのことをTARA(Threat Analysis and Risk Assessment)と呼び、ISO/SAE 21434の8章で詳細に説明されているもののようです。当連載記事ではさらっと流していますが、改めてTARAについては各ステップ毎に理解を深める必要がありそうですね。
今回は記事で特筆されている、リスク値の算出方法について見てみます。
「安全性」に関わるリスク値の算出は、ISO 26262のASIL(Automotive Safety Integrity Level: 安全性要求レベル)に基づいた評価基準で設定することがお勧めとあり、直接安全にかかわるリスク値は高く、財務・運用・プライバシーに関わるリスク値は低くなるのが一般的とのこと。う~ん、前提知識がある人向けに書かれているのでしょうが、なんとも煮え切らない表現、、、まずは概要からということで今回は読み進めましょう。
少なくとも、TARAやASILについてもっと勉強しなければならないことがはっきりしたので、その点を収穫と捉えることとします。
リユース分析の活用
当連載記事最後にリユース分析なるものが書かれています。
同一システムやパーツを複数の車両で利用する場合や、後継車両に再利用する場合にも、担当者は新規開発と同様に、上記コンセプトフェーズに基づく対応を毎回実施しなくてはいけないのでしょうか
という質問に対し、変更レベルに応じたプロセステーラリング(どのステップを省略するか、どのステップと統合するか等の分析)を行うべき、と回答しています。またリユース分析は開発費用・期間を抑制でき効率的な開発を可能にする一方で、リユース分析を誤ってしまうと排除すべきでないプロセスを排除してしまうこともあり、脆弱性につながるリスクがある、とも言っています。
テュフ社ではリユース分析ガイドラインとテンプレートを用意しているようで、サイトからその一部がダウンロードできます。
以前の記事でも書きましたが、テュフ社の良いところはこのように成果物イメージを既に持っており、実際にサンプルを閲覧できるようにしてくれている点です。
確かに同じECUを同じプラットフォームを使っている他の車両や後継車両で利用する際、改めてリスクアセスメントやリスク低減策を考えていては、開発期間が延びるばかりですので、テーラリングは重要ですね。ただし、最近も様々な業界のニュースで見かけますが、こういった品質管理プロセスは、手を抜こうと思えばいくらでも抜ける点でもあり、監査する側も含めて、適正に行われているかをチェックする仕組みを自動車業界として構築すべきと考えます。
さて今回でテュフ社の連載記事を見るのは最後となります。一貫性がなくわかりづらい点も多かった記事ではありますが、次の調査ポイントを見つけさせてくれた点は感謝しています。次回以降はTARAの各ステップ、ISO 26262、ASILなど、まだまだ読み砕いていきたいと思います。
