Automotive SPICE for Cybersecurityドラフト版のご紹介

今回のメルマガでは、自動車のサイバーセキュリティの法規対応が施行される中、2021年2月から公開されているAutomotive SPICE for Cybersecurity（以降、Automotive SPICE for CS）のドラフト版（公開は、2021年5月末までの予定）についてご紹介いたします。以前、intacsのワーキンググループがCybersecurity SPICEの策定を進めているとお伝えしましたが、intacsが検討成果をVDAのワーキンググループに引き渡す形で今回のCS SPICEドラフトの策定となりました。Automotive SPICE for CSは、2021年5月末までドラフト版のフィードバックを行い、正式版として2021年秋頃に発行予定です。

まず、過去のメルマガでもお伝えしましたが国連の自動車基準調和世界フォーラム(WP.29)が新しいレギュレーションとして発行したUNECE R-155（サイバーセキュリティ及びサイバーセキュリティマネジメントシステム）は、サプライチェーンにおけるサイバーセキュリティリスクの特定および管理を自動車メーカーに要求しています。その対応の中でAutomotive SPICEは、自動車業界で求められるプロセスの目的やプロセスの成果を体系的にまとめたものであり、アセスメントを実施することにより、プロセス関連の製品リスクを特定するための有効な方法となっております。Automotive SPICE for CSは、サイバーセキュリティ関連のプロセスをAutomotive SPICEの対象プロセス範囲に組み込むために、サイバーセキュリティエンジニアリングのプロセス参照およびアセスメントモデル（Cybersecurity PAM）が追加で定義されています。ただし、ISO/SAE 21434で要求されているサイバーセキュリティ管理、継続的なサイバーセキュリティ活動、開発後のフェーズ、廃止措置などの製品開発のライフサイクルにおける開発フェーズ以外の活動については、Automotive SPICE for CSの範囲には含まれていません。 これらの活動は、VDAから発行されているAutomotive Cybersecurity Management System Auditの対象範囲となっております。

Automotive SPICE for Cybersecurityの構成は、Part.1：サイバーセキュリティエンジニアリングのためのプロセス参照およびアセスメントモデル、Part.2：サイバーセキュリティエンジニアリングに対する評定ガイドライン（能力レベル1）の2部構成となっております。Part.1は、Automotive SPICE 3.1およびAutomotive SPICEガイドライン（第1版）を補足し、サイバーセキュリティ関連の開発プロセスのアセスメントを可能にしています。Part.2は、既存のAutomotive SPICEガイドライン（第1版）を補完することを目的としています。 この内容には、Part.1で定義されたプロセスの解釈とアセスメントのガイドラインが含まれています。
Automotive SPICE for CSでは、Automotive SPICE 3.1からの新しいプロセスグループとしてSEC（Security engineering process group）が追加されており、そのほかにACQ.2、MAN.7が追加され、ACQ.4がAutomotive SPICE 3.1から内容が一部変更されています。

■Automotive SPICE for CSで定義されているプロセス
SEC.1 Cybersecurity requirement elicitation
SEC.2 Cybersecurity implementation
SEC.3 Risk treatment verification
SEC.4 Risk treatment validation
ACQ.2 Supplier request and selection
ACQ.4 Supplier monitoring
MAN.7 Cybersecurity risk management

Automotive SPICE for CSによるアセスメントは、Automotive SPICE 3.1のアセスメントと組み合わせて実施する場合と、Automotive SPICE for CSのみの実施の２つのパターンで実施することが可能です。過去にVDAスコープのアセスメントを実施していた場合は、追加でAutomotive SPICE for CSのみの実施することが出来ます。過去にVDAスコープのアセスメントを実施していない場合は、Automotive SPICE for CSのアセスメントとAutomotive SPICE 3.1のアセスメントの両方を実施する必要があります（CSとVDAスコープのアセスメントは、分割して実施可能）。もし、組み合わせて実施する場合はACQ.4はそれぞれ個別のプロセスインスタンスとしての実施が推奨されています。
今後は、自動車メーカーが従来のAutomotive SPICEに加えて、Automotive SPICE for CSを用いてアセスメントを実施し、サイバーセキュリティに対するサプライヤーの能力を評価するように検討が進んでいます。皆さんも今後のサイバーセキュリティ対応として既存のAutomotive SPICEと共にAutomotive SPICE for CSをセキュリティ対策の体系的なアプローチの構築にご活用頂ければと思います。
弊社は、ISO/SAE 21434に対してAutomotive SPICE for CSを含めたプロセス改善のご支援やトレーニングを行っております。ご興味がある方は是非、弊社までお問い合わせください。
今後も弊社はメルマガやセミナーなどでAutomotive SPICE for CSやAutomotive SPICE 4.0 などの最新の情報をお伝えしていきます。
※注意事項：本メルマガの内容はドラフト版に基づいて作成しております。後に発行される正式版では内容が異なる場合がございます。

2021/4/23　山内 誠

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊
「Automotive SPICE for Cybersecurity （ドラフト）のご紹介」を含む無償セミナーの開催は、こちらをご参照ください。
＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊