サイト内の現在位置

サイバーセキュリティ(ISO/SAE 21434)

サイバーセキュリティ(ISO/SAE 21434)とは

サイバーセキュリティ(ISO/SAE 21434)とは、ISOとSAEのジョイントワーキンググループが国際標準化を推進している国際標準です。企画、製品開発から廃棄に至るまで、車のライフサイクル全般にわたるサイバーセキュリティ要件(CS要件)を規定し、自動車の電気電子(E/E)システムがサイバー攻撃に対応できるようにすることを目的としています。
サイバーセキュリティ(ISO/SAE 21434)は機能安全規格(ISO 26262)と同様の考え方ではありますが、リスクアセスメントの範囲が異なり、サイバーセキュリティ(ISO/SAE 21434)の方が広い範囲となります。

機能安全との違い

サイバーセキュリティ(ISO/SAE 21434)はなぜ必要

セキュリティ研究者による実験※1から、自動車に無線で遠隔操作できてしまう問題が発覚しました。この問題は人命にかかわる非常に重大な脆弱性であったため、これをきっかけにサイバーセキュリティ(CS)に対する検討が本格化されました。その後、国連内に自動運転におけるタスクフォース『WP.29 :自動車基準調和世界フォーラム』が発足されました。
WP.29にてCSMS(サイバーセキュリティマネジメントシステム)※2とSUMS(ソフトウェアアップデートマネジメントシステム)※3の2つの規則が策定されました。

悪意のある遠隔操作

この2つの規則により自動車メーカーは、車両の型式認定審査を受けるにあたり『CSMS適合証明書』『SUMS適合証明書』を取得し、提出しなければなくなりました。また、日本でも道路輸送車両法の『自動車の特定改造等の許可に関する省令』でCSMSとSUMSの要件が盛り込まれました。
WP.29のサイバーセキュリティ規則(CS規則)で、CSMS要件をサプライチェーンの各組織に実装する際に役立つ規格としてサイバーセキュリティ(ISO/SAE 21434)が紐づけられました。そのため、サイバーセキュリティ(ISO/SAE 21434)に対応すればWP.29のCSMSを遵守しているということを説明しやすくなります。
自動車メーカーの中には、サプライヤへサイバーセキュリティ(ISO/SAE 21434)対応を必須としているところもあり、エビデンスを求めてくることもあります。

WP.29CSMS要件に準拠している事を表す図

※1 セキュリティ研究者による実験:車両の走行場所から16キロ離れた研究者の自宅から実験は行われました。研究者は、ノートPCを使い自動車のエンターテイメントシステムにコマンドを送信しました。それにより、112Km/hで走行中の自動車のエアコンやラジオやワイパーを制御し遂にはアクセルが効かなくなり減速させることができました。また、エンジンを停止させたり、ブレーキを効かなくさせたりすることもできました。
※2 CSMS:自動車のライフサイクル全般におけるセキュリティを管理する仕組みです。認証機関によりOEM のセキュリティ体制や仕組みについての認証・監査が 3 年ごとに行われます。認証されたプロセスに従って車両が開発・生産されていることを実証する審査に適合すれば「 CSMS 適合証明書」が発行されます。
※3 SUMS:自動車のソフトウェアアップデートを管理する仕組みです。認証機関よりセキュリティを考慮したソフトウェアアップデートの仕組みやソフトウェアのバージョン管理の仕組みについての認証・審査が 3 年ごとに行われます。認証されたプロセスに従って車両が開発・生産されていることを実証する審査に適合すれば「 SUMS 適合証明書」が発行されます。

サイバーセキュリティ(ISO/SAE 21434)の構成

サイバーセキュリティ(ISO/SAE 21434)は15章で構成されています。
1章~4章には本国際標準規格のスコープ、参考文献、用語の定義、考慮事項が記載され、5章~15章に要求が記載されています。

要求の記載されている各章の概要は以下のようになります。

自動車のライフサイクルへの各章の紐づけマッピングは以下のようになります。

サイバーセキュリティ(ISO/SAE 21434)に関する当社のメニュー

当社は、サイバーセキュリティ(ISO/SAE 21434)に関する人材育成からプロセスの構築・改善・定着支援や評価支援サービスなどサイバーセキュリティを総合的にご支援いたします。

サービスメニュー サービス概要
①人材育成 サイバーセキュリティ(ISO/SAE 21434) 概要教育
サイバーセキュリティ(ISO/SAE 21434) 詳細教育
②プロセス構築支援 サイバーセキュリティ(ISO/SAE 21434) プロセス構築
③改善・定着支援 サイバーセキュリティ(ISO/SAE 21434) SEPG,SQA支援
④代行サービス サイバーセキュリティ(ISO/SAE 21434) 開発実装代行
サイバーセキュリティ(ISO/SAE 21434) 監査