製品

PolarionがISO 21434およびUNR 155のサポートを開始

Sep 04, 2024 0 分で読めます。
執筆者 Alexander Heyers

2020年6月末、国際連合は待望の2つの新しい規制を発表しましたが、これらはサイバー攻撃から自動車を保護するだけでなく、乗客のプライバシーも保護することが期待されています。まず、その経緯からご説明しましょう。国連、正確には国連欧州経済委員会 (ECE) の第29作業部会 (WP29) は、1950年代から自動車の安全面に関する規制を定めています (安全ベルト、ヘッドライト・システム、最近では緊急ブレーキ・システムなど)。車載システムのデジタル化、コネクティビティの向上、モビリティの共有によって、電子制御ユニット (ECU) の数やソフトウェア・コードの量が飛躍的に増加しています。2020年春に発表されたGSAとMcKinseyのレポートによると、現在、自動車には約150個のECUと、約1億行のコードが搭載されていると推定されています。2030年には3億行に増加すると予想されています。比較データについては、以下の表を参照してください。

特定車種で推定されるソフトウェア成長率

(現在ではないにしても、今後) 自動車業界は製品にソフトウェアを搭載する量が最も多くなる業界になることが予想されていますが、これにともなって、ハッカーがシステムへのアクセスを試み、それによって安全機能や消費者のプライバシーを脅かすという重大なサイバー・セキュリティ・リスクが発生します。2018年、国連ECEのWP29は、自動車メーカー (その結果として、Tier 1およびTier 2サプライヤー) に対して拘束力のある要件の導入に取り組み始めました。この結果、前述した次の規則が制定されました。

  • 国連規則第155号 (UNR 155) – サイバー・セキュリティおよびサイバー・セキュリティ管理システム
  • 国連規則第156号 (UNR 156) – ソフトウェア更新およびソフトウェア更新管理システム

UNR 156は、ターゲット・システムにソフトウェア更新を配信するために必要なプロセスのフレームワークを提供します。ここでは、UN R155、CSMS (旧名称は、WP29/Trans/79) について詳しく見ていきます。

今すぐ対策を取りましょう

UN R155は、2022年7月までにUNECE (国連欧州経済委員会) 市場の新車に適用されます。日本はすでに、2022年1月にこれを適用する意向を表明しました。レガシー車両については、2024年までに規制が適用される予定です。UNECEに加盟している市場で自動車を発売するには認証が必要なため、OEMとそのサプライチェーンには大きなプレッシャーとなります。さらに、サイバーセキュリティ面に対処する能力を示すことは、顧客との相互信頼につながります。

UN R155規則は、型式認証を目指すOEMに対して、主に次の2つの要件を義務付けています。1. OEMは、サイバーセキュリティ管理システム (CSMS) を実装する必要があります。2. OEMはCSMSを使用して、セキュリティ面に関して下した意思決定を、監査可能なエビデンスとして示せる必要があります。この規則では、脅威とその緩和策、セキュリティ管理項目の例も示しています。つまり、規則は何をすべきかを明確に示しています。しかし、その方法についてはガイダンスを提供していません。また、Tier 1/2サプライヤーの要件は含まれていません。

ISO/SAE 21434に関する情報

ISO/SAE 21434は現在最終草案が入手可能で、2021年8月に公開される予定です。現在入手可能なバージョンに、ISO 26262との関連性があることは否定できません。最新の技術の変化速度の速さを考慮して (リリース時にはすでに時代遅れになっているなど)、ISO/SAE 21434は、サイバーセキュリティの妥当性を確認する優れた手法について、ガイダンスを示すことに重点を置いています。この規格では、優れたサイバーセキュリティ文化を築くための助言や、製品ライフサイクル全体を通じていつ何をすべきか、また、サイバーセキュリティに関してサプライチェーンをどのように管理するかなど、複数の条項で説明しています。この規格は、特にリスク分析 (第8条) 手法と、開発のコンセプト・フェーズ (第9条) に重点を置いています。

事前設定済みのオブジェクトを使用して、脅威とリスクの分析を迅速に開始できます。必要に応じて、簡単にプロセスを改善・調整できます。

標準的なリビジョン管理およびベースライン機能を使用して、過去の状態をいつでも復元して監査に対応できます。

リンク機能を使用して、サイバーセキュリティ分析オブジェクトを既存の開発プロセスに結び付けます。

Polarionは、内蔵の機能によってOEMおよびTier 1/2がUN R155とISO/SAE 21434の両方の要件に準拠できるようにサポートしています。追加で利用可能なISO/SAE 21434プロジェクト・テンプレートと組み合わせることで、UN R155およびISO/SAE 21434に関するすべての要件に対処できるよう万全なサポートを提供します。

Live Docビュー

このテンプレートは複数の文書テンプレートで構成されており、組織がサイバーセキュリティ対策を文書化し、管理対象アセットに関する情報を1箇所で管理するのに役立ちます。この文書テンプレートは、アクセス権限とベースライン・オプションが設定されたワークフローがあらかじめ定義されているだけでなく、プロジェクト間で再利用して時間を節約し、品質を向上させることもできます。

この規格の第9条では、各アイテムがサイバーセキュリティに関連するものかどうかを分析することが義務付けられています。通常、各アイテムは単独で機能するのではなく、コンポーネントまたはシステムの一部 (表現したもの) として存在します。シーメンスのISO/SAE 21434テンプレートは、下図に示すように、サイバーセキュリティ・オブジェクトのアイテムをシステム表現にリンクさせることによって、さまざまな開発プロセスに対応することができます。コンポーネントが別のプロジェクトのものであれ、別の開発プロセスに基づいたものであれ関係ありません。下図の例を参考にしてください。

オブジェクトの依存関係

国連 (UN) の規則と規格はともに、安全な製品を提供することを主要目的としています。ライフサイクル全体を通じて、継続的なTARA (脅威とリスクの分析) を実施する必要があります。Polarionプロジェクト・テンプレートは、アセット、被害シナリオ、脅威シナリオなどの必要なオブジェクトを提供することでユーザーを支援します。各オブジェクトには、必要な属性情報とカスタマイズされたライフサイクルがあります。これにより、ユーザーはISO/SAE 21434に従ってすぐに分析を開始できます。基礎となるリスククラスはMicrosoftのSTRIDEに基づいており、アセットの分析に使用できます。被害シナリオと脅威シナリオのスコアは、SAE J3061でも参照されたEVITAプロジェクトによる定義に従っています。 これら全体を総合して、最終的なリスククラスが決定されます。示されている攻撃ベースの手法に加えて、CVSS2または攻撃ベクトルベースのアプローチも実装できます。

オブジェクトの内部

カスタマイズ・レポートは、即時ステータス・レポートによって、個々のアイテムの脅威シナリオを特定し、その対応策を導き出します。 標準的なリビジョン管理およびベースライン機能により、過去の状態をいつでも復元し、監査で証明することができます。

TARAレポートのプレビュー

この規格は暫定的なものであるため、認可当局がどのように監査を実施し、特にTier 1およびTier 2のサプライヤーに対して、要件をどのように解釈するかはまだわかりません。Polarionテンプレートは、現在の知識に基づいています。Polarionはプロジェクト・テンプレートを柔軟に適応できるため、ユーザーはいつでも変更に対応できます。今年後半には、脅威シナリオに対する静的および動的コード解析のための別のアドオンも統合し、監査用の新しいISO PAS 5112も検討する予定です。

お問い合わせ

詳細はこちらからお問い合わせページからお気軽にお問い合わせください。

参考文献

[1] UNECEプレスリリース、『UN Regulations on Cybersecurity and Software Updates to pave the way for mass roll out of connected vehicles』、https://unece.org/sustainable-development/press/un-regulations-cybersecurity-and-software-updates-pave-way-mass-roll、2020年6月

[2] 『Upstream Security Global Automotive Cybersecurity Report 2019』、https://upstream.auto/upstream-security-global-automotive-cybersecurity-report-2019/

[3] GSAおよびMcKinsey、『Cybersecurity in automotive』、https://www.mckinsey.com/~/media/mckinsey/industries/automotive%20and%20assembly/our%20insights/cybersecurity%20in%20automotive%20mastering%20the%20challenge/cybersecurity-in-automotive-mastering-the-challenge.pdf、2020年3月

[4] 『ISO/SAE DIS 21434 Road vehicles – Cybersecurity engineering』、https://www.iso.org/standard/70918.html

[5] 『EVITA – E-safety vehicle intrusion protected applications』、https://www.evita-project.org/ [6] 『Microsoft Threat Modeling Tool threats』、https://docs.microsoft.com/en-us/azure/security/develop/threat-modeling-tool-threats

次に読むおすすめ記事