2021年9月にVDAより、Automotive SPICE for Cybersecurity(以降、Automotive SPICE for CS)PAMの正式版が公開されました。今回のメルマガでは、このAutomotive SPICE for CSの文書としての位置づけや、お勧めしたい活用方法についてお伝えしたいと思います。なお、Automotive SPICE for CSのガイドライン(PAM+ガイドラインの形態)も現在出版準備が最終段階となっており、こちらも近日中にVDAホームページより有償販売が開始される予定となっています。
Automotive SPICE for CSは、Automotive SPICE PAM 3.1をベースに国連のサイバーセキュリティ法規UN-R155の要求に対応すべくサイバーセキュリティに特化した6つのプロセスを追加定義した構成となっています。しかしながら、Automotive SPICE for CSはあくまで製品の開発にフォーカスしたプロセスモデルであり、組織のサイバーセキュリティ管理システム(CSMS)についての要求まで全てをカバーしたものでない点には注意が必要です。UN-R155および各サイバーセキュリティ関連文書の関係を図.1に示します。
UN-R155の要件は大きく2つ、サイバーセキュリティの管理システムに関する要件と個別の車両型式の開発に関する要件に大別することができます。Automotive SPICE for CSは主に車両型式の開発(サプライヤにおいては車載システム開発)に関する要件に対応するように作られており、一方のCSMS関連要件に対しては同じくVDAが発行するAutomotive Cybersecurity Management System Audit(以降、ACSMS Audit)が主に対応します。ただし各文書には対応領域の他に、想定されている利用者の違いもあります。各文書の想定利用者および利用法を表.1に示します。
自動車サイバーセキュリティに関する一連の要求に適合しようとするとき、OEMにとってもサプライヤにとっても、ガイドとして中心的な役割を果たすのはやはりISO/SAE 21434です。この規格は自動車サイバーセキュリティ全体をカバーしており、要求事項も比較的細かい粒度で定義されているためです。一方でAutomotive SPICE for CSですが、PAMの内容をご覧になられた方の中には、定義された達成成果やBPの抽象度に戸惑われた方もいらっしゃるのではないでしょうか。実際のところ、Automotive SPICE for CSのみを参照してサイバーセキュリティに対応した開発プロセスを構築するのは難しい場合もあるかと思います。しかしながら、Automotive SPICE for CSはもともとOEMによる俯瞰的なプロセス評価を主眼に設計されており、プロジェクトにおいてサイバーセキュリティ活動が適切に実施されているかを評価する際には非常に良い視点を提供してくれます。具体例としては、エンジニアリング領域に定義されているSEC.1~4のプロセスにはシステム、ソフト、ハードおよびメカを含む全領域を対象としたプロセス横断的な要求事項が定義されており、この視点に従って活動を評価することによってプロセス間の繋がりに関するリスクを特定することができます。CL3のアセスメントを実施した場合には標準プロセスそのものの妥当性や機能性も評価対象となりますが、プロセス間の繋がり、プロセス全体としての機能性を確かなものにしておくことはサイバーセキュリティにおいて特に重要なポイントとなります。
またAutomotive SPICE for CSについては、上述のようにプロセス改善を目的に自発的に活用するケースの他に、顧客から適合を求められるケースも考えられます。実際、欧州のOEMを中心にAutomotive SPICE for CSを用いてサプライヤのサイバーセキュリティプロセスを評価する動きが見られ、既にサプライヤに対しアセスメント要求を発行しているOEMも存在します。こうした要求を受けた場合には、Automotive SPICE for CSをプロセスの事前評価にご活用いただければと思います。弊社でも改善に向けたギャップ分析や第三者アセスメントなどを承りますので、ご入用の際はお気軽にご相談ください。
弊社ではAutomotive SPICE for CSについて、プロセス基礎トレーニングの実施およびガイドブック出版の準備を進めております。プロセス基礎トレーニングの初回開催は2021年11月18日、ガイドブックの出版は2022年2月(日経BPより)を予定しておりますので、ご興味をお持ちの方はぜひ利用ご検討ください。
サイバーセキュリティのためのAutomotive SPICEプロセス基礎トレーニング
申し込みURL:https://biz3.co.jp/publictraining/4217
2021/10/7 大野 貴正