ふとUN-R155 7.2.2節が加筆されていたことに気付く - これからのくるまのセキュリティを考えるぶろぐ

7.2.2.2節の追加要件
7.2.2.3節と7.2.2.4節

前回の記事で186回目のWP29、自動車基準調和世界フォーラムがスイスのジュネーブで開催されたことをお伝えしました。

187回目のWP29も同じくスイスのジュネーブで6/21より開催されたようで、今回はそこでのUPDATEを見ていきたいと思います。

https://unece.org/info/events/event/366142

7.2.2.2節の追加要件

当ブログを始めた頃、CS Regulation(UN-R155)の7.2.2.2節に着目して2つの記事を書きました。

今回の報告書を見ている中で、新たに挿入されていた節を見つけることができたので、その点に触れていきたいと思います。実際にはだいぶ前に追加されたと思われますが、MONOistなど、どこにも取り上げられていなかったため、気付くのが遅れました。

上記2つの記事を書いた頃には、7.2.2.2節には(a)-(g)の7つの要件が記載されていましたが、8つ目の(h)が追記されていました。原文は以下の通りです。

The processes used to provide relevant data to support analysis of attempted or
successful cyber-attacks

失敗に終わった、もしくは残念ながら被害が出てしまったサイバー攻撃の分析をサポートするため、関連データを提供するプロセスが必要である旨、追加されたようです。脆弱性が見つかった場合、もしくは実際にインシデントが発生してしまった場合に、どの情報をどういった手順で分析担当へ提供するのかについて、明らかにしておきなさい、ということでしょう。(a)-(g)では、組織としてどうあるべきか、リスクをどのように特定するのか、そのリスクをどう評価するのか、それらを最新に保つには、監視・検出・対応はどうすべきか、といったプロセスに対する要件が語られていましたが、最新版ではそのプロセスを通る、情報・データの流れについての要件が追加されていると考えられます。PSIRT(Product Security Incident Response Team)をより強固なものにするためにもデータの流れを定義しておくことは理にかなっていますね。

7.2.2.3節と7.2.2.4節

新しく見つけたこの2つ。まずは7.2.2.3節の原文を見てみましょう。

The vehicle manufacturer shall demonstrate that the processes used within their
Cyber Security Management System will ensure that, based on categorization
referred to in paragraph 7.2.2.2. (c) and 7.2.2.2. (g), cyber threats and
vulnerabilities which require a response from the vehicle manufacturer shall be
mitigated within a reasonable timeframe.

7.2.2.2節(c)と(g)ではリスクや実際の攻撃、脆弱性等に対応するプロセスへの要件が述べられていましたが、ここではその対応プロセスが合理的な時間内で行われることが求められているように読めます。続く説明文では、リスクの分類結果から対応時間のリミットを決めるプロセスが確立されていること、と補足されています。timeframeという単語がしきりに使われていますが、OEMが設定するtimeframeは正しく説明できる必要がある、とも記載されています。つまりは、いくらプロセスが精緻に定義されていても、あまりに時間がかかり過ぎるのはダメよ、ということでしょうか。ごもっともですね。

次に7.2.2.4節です。

The vehicle manufacturer shall demonstrate that the processes used within their
Cyber Security Management System will ensure that the monitoring referred
to in paragraph 7.2.2.2. (g) shall be continual. This shall:

Include vehicles after first registration in the monitoring;

Include the capability to analyse and detect cyber threats, vulnerabilities and
cyber-attacks from vehicle data and vehicle logs. This capability shall respect paragraph 1.3. and the privacy rights of car owners or drivers, particularly with respect to consent.

ここではCSMSで利用されているプロセスにより、監視が継続的なものであることが求められているようです。続く説明文では、サイバー攻撃や脅威、型式毎の脆弱性を監視するプロセスが継続的であり、監視対象である全ての登録車両に対応できることを保証すること、とあります。つまりは、監視活動が寸断されることなく、全ての車両に行き届いていること、と解釈できますね。

尚、今まで当ブログでは7.2.2.3節に位置づけていたOEMとサプライヤー間の連携に関する要件は、7.2.2.5節に移動してました。

最後に、今回のようにまだまだCSMSもSUMSも変遷があると思いますので、わたし自身もcontinualに情報を追いかけねばと改めて思った次第です。