出荷後の車両や部品の脆弱性に、あなたの会社はどう行動すべきか:WP29サイバーセキュリティ最新動向(3)(3/3 ページ)
本連載では、2019年9月の改訂案をベースにOEMに課されるWP.29 CS Regulationsのポイントを解説し、OEMならびにサプライヤーが取り組むべき対応について概説する。前回は自動車のサイバーセキュリティに必要な組織づくりや、開発フェーズでのプロセス構築について紹介した。今回は生産フェーズ以降のサイバーセキュリティマネジメントシステム(Cyber Security Management System、CSMS)のプロセス構築について説明していく。
リスク分析フェーズ
入電された脆弱性情報の信ぴょう性が高く、対応を進めることになると、社内の製品・情報セキュリティ委員会や関係部署へ一報を入れ、OEMとサプライヤーのPSIRT間の連携を図っていく。このためにも、表3-1に示すような連絡票を準備しておくと良い。ここには、関係部署と担当者、メールアドレス、役割などを記しておく。
社内関係部門 | PSIRT連携社内メンバー | メールアドレス | 役割 |
---|---|---|---|
PSIRT | 桜木一郎(課長) | ichiro@dnv.co.jp | 調整役 |
品質管理部 | 高島次郎(課補) | jiro@dnv.co.jp | 品質ゲート |
電子PF部 | 横浜三郎(副部長) | saburo@dnv.co.jp | 詳解、サプライヤー窓口 |
IT部 | 菊名四郎(係長) | shiro@dnv.co.jp | センタサーバ対応 |
販売店管理部 | 大倉五郎(課長) | goro@dnvgl.com | 販売店管理 |
顧客窓口部 | 綱島六郎(係長) | rokuro@dnv.co.jp | 一般受付 |
生産部 | 日吉七郎(課長) | hichiro@dnv.co.jp | 工場対応 |
渉外部 | 元住八郎(課長補佐) | hachiro@dnv.co.jp | 当局報告 |
広報部 | 小杉九朗(副部長) | kuro@dnv.co.jp | Web周知 |
脆弱性の対象が開発フェーズの自動車にとどまる場合は、生産フェーズ前までに対応が図られるよう、開発部門やサプライヤーと調整を進める。生産フェーズ後の自動車が対象となる場合は、脆弱性を突く攻撃が、道路を走る自動車へ行われないよう、迅速な対応に重点を置くこととする。このため、分析結果が完璧にそろわない段階でも、関係者に対して小まめな情報共有を行うことを心掛け、AUTO-ISACとも適宜連携を進めたい。
リスク分析では、脆弱性の影響を受けるシステムやHW/SW部品のリスト、その影響度や脆弱性を突く攻撃の成立条件などを、関係する開発部門やサプライヤーを交えて分析する。このとき、自動車の多層防御の仕組みを把握しているOEMは、攻撃の成立条件の精査役を担うことになる。リスク分析の結果、出荷済み自動車への影響が小さく受容できると判断される場合には、その理由を記録し、次回の開発フェーズにおいて対策が図られるようなプロセス作りが求められる。
リスク分析の結果、リスクの低減に向けてパッチ作成などの対策を図る場合には、その有効性の評価と正しく機能するかのテストを、開発部門やサプライヤーが連携して進めていく。もし自動車の利用方法で攻撃の成立条件を回避する有効な手段を図れるのであれば、その回避策についても所有者へ周知を進める。こうしたリスク評価や有効性テストの内容は、必要に応じて発見者に確認すると良い。
公表フェーズ
パッチなどの対策の準備が整うと、販売店やOTA(Over-The-Air)などを通じたSU(Software Updates)に向けて準備を整える。公表の時期について、車内関係者やサプライヤーと調整するとともに、他のOEMやサプライヤーの準備状況をAUTO-ISACなどを通じて確認するとともに、社内関係者やサプライヤーと調整する。公表については、既存の修正対応の手順に乗るなど、確実に対策が進むように図っていく。必要に応じて、当局や関係機関へも報告する。
最後に振り返りとして、脆弱性が組み込まれてしまった原因を特定し、再発防止に向けた改善策を検討し、CS活動へのフィードバックを行う。また、入電から公表までの一連の作業において、反省点があればそれを振り返り、今後のPSIRT活動が迅速かつ有効に機能するよう改善を図る。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ≫連載「WP29サイバーセキュリティ最新動向」
- ≫連載「いまさら聞けない 車載セキュリティ入門」
- 自動車メーカーとサプライヤーはどう連携してセキュリティに取り組むべきか
本連載では、2019年9月の改訂案をベースにOEMに課されるWP.29 CS Regulationsのポイントを解説し、OEMならびにサプライヤーが取り組むべき対応について概説する。目次は下記の通り。 - 自動車メーカーに選ばれるのは、セキュリティを理解したサプライヤーだ
本連載では、2019年9月の改訂案をベースにOEMに課されるWP.29 CS Regulationsのポイントを解説し、OEMならびにサプライヤーが取り組むべき対応について概説する。今回は自動車のサイバーセキュリティに必要な組織づくりや、開発フェーズでのプロセス構築について説明していく。 - 自動車のサイバーセキュリティに「説明責任」を、DNV GLに新チーム
第三者認証機関のDNV GLは、自動車向けに機能安全とサイバーセキュリティの両面の対応を強化している。車載セキュリティの設計や実装における技術検証を行うサイバーセキュリティラボを2019年4月1日に設立。ISO 26262の策定活動にも参加した自動車メーカー出身者による従来の機能安全のチームに、大手通信事業者でサイバーセキュリティに長く携わったメンバーが参加した。これにより、セーフティとセキュリティのサポートをワンストップで提供する。 - 自動車セキュリティは義務的作業ではなく、イノベーションを促進する土台だ
コネクテッドカーの普及に備えてセキュリティの重要性が高まっているが、自動車業界はどのように取り組むべきか。Tenableの共同設立者兼CTOであるRenaud Deraison(ルノー・ディレイソン)氏に話を聞いた。 - 自動車業界にセキュリティ意識調査、不十分な対応やリソース不足が目立つ
シノプシス(Synopsys)は2019年2月20日、東京都内で会見を開き、自動車業界のセキュリティの取り組み状況に関する調査結果を発表した。調査はSAE(米国自動車技術会)と共同で、グローバルの自動車メーカーやサプライヤーなどを対象に実施した。 - 三菱電機、製品サイバーセキュリティの全社組織を新設
三菱電機は2019年3月18日、製品とサービスのサイバーセキュリティリスクに対応する専門組織「PSIRT(Product Security Incident Response Team、ピーサート)」を同年4月1日に新設すると発表した。