今年7月のメールマガジンでは、Cybersecurity SPICE(以下、CS SPICE)の策定が進んでいる旨をご紹介いたしましたが、今回のメールマガジンでは、そのCS SPICEとして策定されているプロセスの内容や、関連する規格の動向についてご紹介いたします。
CS SPICEはAutomotive SPICE V3.0以降のプラグインコンセプトに基づくプラグインモデルとして位置づけられ、すでに発行済みのSPICE for Mechanical Engineeringと同様に、新たなプロセスが追加されます。CS SPICEでは、”Security”の最初の3文字を取ってIDに”SEC”が付き、SEC.1~6の合計6個のプロセスが定義される予定です。
SEC系プロセスとして追加される6プロセスのうち、技術的な観点としては、システムレベルとソフトウェアレベルそれぞれに「セキュリティリスク分析およびセキュリティコンセプト」が追加されます。これらのプロセスは、システムレベルにおける脅威分析と、ソフトウェアレベルにおける脆弱性分析を含めたセキュリティリスクの分析・評価と、抽出されたリスクに対する対策の策定を求めています。また、別のプロセスとして、独立した立場からのセキュリティアセスメントも求められています。
CS SPICEのもう一つの特徴としては、SOP後のすべてのライフサイクルを対象としていることにあります。これは、製品が市場にリリースされた後に見つかる脅威や脆弱性に対しても、必要な対策を講じるため仕組みの構築や維持に該当します。
さらに、Automotive SPICE本体のプロセスに対しても、いくつかのプロセスのプロセス成果、アウトプット作業成果物、基本プラクティスとその備考に追加定義が行われます。(これは、CS SPICEとしての追加定義であり、ASPICE本体への変更は発生しません。)たとえば、MAN.3 プロジェクト管理プロセスにおいては、セキュリティ計画に関する考慮点が追加されます。
このように、CS SPICEはサイバーセキュリティ対策に必要なプロセスを含んでいますが、これらの内容は現在策定中の車載システム向けサイバーセキュリティ規格ISO/SAE 21434や国連欧州経済委員会(UNECE)の規制要件を反映する形で策定が進められており、高い親和性を持ちます。
ISO/SAE 21434については、まもなくDIS版のドラフトが公開されますが、正式発行に向けて各社ともサイバーセキュリティ対応に向けた体制構築やプロセス構築への取り組みを急がれている状況かと思います。特に、プロセス構築においては、前述のようにSOPまでの開発プロセスだけでなく、製品リリース後の対応に関するプロセスが必要になるため、プロセス全体の見直しが必要です。
弊社では、CS SPICEを活用したサイバーセキュリティ対策の支援に向けて準備を進めており、CS SPICEおよびISO/SAE 21434に関する最新情報をご提供すべくセミナーも計画しております。詳細が決まり次第、改めてメールマガジンにて案内をさせていただきます。
2019/10/25 田渕 一成