自動車サイバーセキュリティ対策に関する国際標準規格
「ISO/SAE 21434」の概要と対応のポイント

トピック

  • 2021年8月25日にISO/SAE 21434のIS版が発行されました。
    FDIS→IS では、誤記や表現のみが修正されました。
    具体的な要求事項が知りたい方は、弊社の解説書をご覧ください。
    ISO/SAE 21434 など、各種解説書の提供

  • 2021年5月12日にISO/SAE 21434のFDIS版が発行されました。
    DIS→FDISへの変更点を知りたい方はこちらをご覧ください。
    ISO/SAE 21434 DIS ⇒ FDIS での変更のポイント
  • 何故、ISO/SAE 21434の導入が必要?

    2020年6月25日に、国際連合欧州経済委員会(UNECE)の下部組織である「自動車基準調和世界フォーラム(WP29)」が、自動車へのサイバーセキュリティ対策を義務付ける指針(法規制の提案)を採択しました。それによって、UN-R155 サイバーセキュリティ法規(以降、セキュリティ法規と記す)を満たしていない車両は、欧州や日本をはじめとした多くの国で販売できなくなる可能性があります(米国や中国などを除く)。
    セキュリティ法規の要求事項のポイントは、以下の2つです。

    • 当局(※)は、製造業者(OEM)に対してCSMS (Cyber Security Management System) が構築できていることを確認するための事前審査を行い、適合証書を発行する。
    • 当局(※)は、車両型式に対してサイバーセキュリティ要求を満たしていることの審査を行い、型式認証を発行する。
    ※日本の場合、当局=国土交通省

    そして、1つ目のポイントであるCSMSの適合証書を得るためには、国際標準規格である ISO/SAE 21434 に従って組織やルール&プロセスを整備し、その妥当性を第三者に説明する必要があります。
    なお、サプライヤがCSMSを構築できていることは、部品供給先のOEMが監査を行うことが要求されているため、自動車業界全体でサイバーセキュリティへの取り組みが必要となっています。

    ISO/SAE 21434の導入に期限はあるか?

    セキュリティ法規は2021年1月に施行され、2022年7月以降に販売される一部の車両から、規制が開始されます(図1)。

    図1.UN-R155 サイバーセキュリティ法規の適用スケジュール

    図1.  UN-R155サイバーセキュリティ法規の適用スケジュール

    2022年7月にまずOTA対応の新型車に対する規制が開始され、その後、2024年1月にOTA非対応の新型車に対する規制が開始されます。 現時点ではOTA対応の車両は限られているため、それ以外の多くの車両は2024年の1月以降に発売する新型車をターゲットにセキュリティ法規への対応を進めることになると考えられます。
    例えば、2024年1月の半年程度前(2023年7月頃)に法規認証の審査を開始し、かつ、車両/車載部品の量産開発に1年の期間が必要であると仮定した場合、CSMSの構築は2022年6月頃までには完了している必要があることになります。 実際の車両/車載部品の開発期間はメーカーによって様々ですが、CSMS構築の期限には猶予が残されていない状況です。

    ISO/SAE 21434が対象とするシステム

    ISO/SAE 21434のスコープは、「車両に搭載される電気/電子システムのコンセプト~廃棄までのサイバーセキュリティマネジメントシステム」です(図2)。

    図2 ISO/SAE 21434のスコープ

    図2. ISO/SAE 21434のスコープ

    セキュリティ法規には、車両と通信するOEM / サプライヤのバックエンドサーバのセキュリティ管理が含まれますが、ISO/SAE 21434の対象は自動車に限られていることには、注意が必要です。バックエンドサーバのセキュリティ対策は、ISO/IEC 27000シリーズ(ISMS規格群)や、ISO 15408 (Common Criteria)などを参考に構築することができます。

    ISO/SAE 21434の全体構成

    ISO/SAE 21434は、全15章で構成される本文と、8個のAnnexから構成されています(図3)。

    図3. ISO/SAE 21434の全体構成

    図3. ISO/SAE 21434の全体構成

    ISO/SAE 21434は大きく、サイバーセキュリティマネジメント、コンセプトフェーズ、サイバーセキュリティ製品の開発、および、製品開発後のSIRT活動、の4つの内容に分けることができます。ここからは、それぞれの要求事項のポイントを解説していきます。

    サイバーセキュリティマネジメント

    ISO/SAE 21434では、サイバーセキュリティマネジメントとして、組織のサイバーセキュリティ管理と、プロジェクトのサイバーセキュリティ管理、の2つの活動が求められています。

    組織のサイバーセキュリティ管理を行うためには、サイバーセキュリティガバナンスを構築する必要があります。そのためには、ISO/SAE 21434に準拠したルール&プロセスの構築と、実際にプロセスを運用するための組織の構築が必要です。このとき、組織に対して適切な役割と責任を与え、かつ、十分なリソースを配置することも重要です。
    また、ISO/SAE 21434では、組織がプロセスを準拠していることを確認するために、監査を実施することが求められています。セキュリティ法規の要件を考慮すると、この監査は「CSMSの構築を確認するための事前審査」に該当すると考えられます。そのため、OEMに対しては当局が審査を行い、サプライヤに対してはOEMが審査を行うことになると考えられます(図4)。

    図4 ルール&プロセスと運用する組織

    図4. ルール&プロセスと運用する組織

    サイバーセキュリティに関連する製品開発のプロジェクト管理を行うためには、セキュリティを担保するための活動を織り込んだプロジェクト計画を立てる必要があります。そして、実際に計画に沿って開発を進めることが重要です(図5)。 また、ISO/SAE 21434では、製品の開発が完了し、生産に移行する前に、製品のセキュリティ対策に問題がないことを確認するためのサイバーセキュリティアセスメントを実施することが求められています。セキュリティ法規の要件を考慮すると、このアセスメントは「車両型式がサイバーセキュリティ要求を満たしていることの審査」に該当すると考えられます。そのため、こちらも監査と同様に、OEMに対しては当局が審査を行い、サプライヤに対してはOEMが審査を行うことになると考えられます。

    図5.サイバーセキュリティプロジェクトの管理

    図5. サイバーセキュリティプロジェクトの管理

    サイバーセキュリティコンセプト

    ISO/SAE 21434では、サイバーセキュリティコンセプトを作成し、製品へのサイバーセキュリティ対策を定義することが要求されています。

    図6.サイバーセキュリティコンセプトの概要

    図6. サイバーセキュリティコンセプトの概要

    サイバーセキュリティコンセプトで実施する活動の流れは、まず製品(アイテム)を明確化し、脅威分析によって製品に対する脅威シナリオと潜在するリスクの値を決定します。次に、リスクの大きさによって、製品に潜在するリスクへの対処方法(低減、共有、回避、保持)を決定します。リスクを低減する場合には、脅威シナリオを防ぐための目標を、サイバーセキュリティゴールとして定義します。リスクを保持、共有する場合は、それらの根拠をサイバーセキュリティクレームとして定義します。また、リスクを回避する場合は、リスクの原因となる要素を取り除くため、製品の設計変更を行います。
    そして、サイバーセキュリティ製品の開発に対して、サイバーセキュリティゴールを実現するためのサイバーセキュリティ要求を渡します(図6)。

    サイバーセキュリティ製品の開発

    ISO/SAE 21434では、サイバーセキュリティ製品の開発に関する要求事項が10章に記載されています。10章の要求事項は、システム、ハードウェア、ソフトウェアなどの工程を区別せずに記載されているため、規格を読む際に要求事項を対応する工程に分配する必要があります(図7)。

    図7.セキュリティに関連する製品開発の流れ

    図7. セキュリティに関連する製品開発の流れ

    なお、セキュリティに関連する製品開発を行う際には、設計/実装の内容に脆弱性が混入しないことを工程毎に検証&評価するため、脆弱性分析、および、脆弱性評価を実施する必要があります。脆弱性分析には様々な手法が存在しますが、分析を行う工程の特長に合わせた手法を選択することが重要です。

    製品開発後のSIRT活動

    ISO/SAE 21434では、製品開発が終わった後、製品の生産、および、市場で運用する際の要求事項が定義されています。その中でも特に重要なのが、SIRT(Security Incident Response Team)活動の要求です。
    ISO/SAE 21434には、フィールド監視による脆弱性情報の収集と、見つけた脆弱性情報への対処(トリアージ)、および、実際に自社製品に対してハッキングが行われた際のインシデント対応に関する要求が定義されています(図8)。
    自動車に対するハッキング事例は、ジープ・チェロキーの遠隔操作の報道(2015年)を皮切りに、数多く報告されています。そのような事態に備え、インシデント対応のプロセスを整備しておくことが非常に重要です。

    図8.SIRT活動として実施すべき活動

    図8. SIRT活動として実施すべき活動

    ISO/SAE 21434を導入するためには?

    ISO/SAE 21434の要求事項は、様々な組織で適用できるように非常に曖昧に記載されています。そのため、ISO/SAE 21434に準拠したプロセスを構築する際には、その曖昧な部分を具体化し、「実行可能な活動」に落とし込む必要があります。
    ISO/SAE 21434に準拠したプロセスを構築し、運用していくためには、規格の正しい解釈に加え、サイバーセキュリティの知識(脅威分析/脆弱性分析を実施するスキルなどを含む)が必要です。WITZでは、自動車サイバーセキュリティの導入支援を行うため、以下のソリューションを展開しています。

    【参考文献】
    • ISO/SAE FDIS 21434 Road vehicles — Cybersecurity engineering
    • Proposal for a new UN Regulation on uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system
    • Cybersecurity: Explanations for the suggested amendments to GRVA-05-05-Rev.1

    ご相談・ご質問等ございましたら、
    お気軽にお問い合わせください。