ISO/SAE 21434について

Clause 1:適用範囲

本節には、本規格の適用範囲が定義されている。適用対象システムは量産自動車に搭載される電気電子(E/E)システムであり、適用フェーズは、コンセプト設計から製品の保守、廃棄に至る製品の全ライフサイクルである。また、本規格がサイバーセキュリティに関する特定の技術や解決策を規定しない旨が記載されている。

Clause 2:引用規格

本節には、本規格が引用する外部規格が記載されている。引用規格は機能安全規格のISO 26262:2018のみである。ただし、参照規格としてはプロセスモデルのAutomotive SPICEや、セキュリティ管理の基礎となるISO 27001、IEC 62443など様々な規格が文書内に登場する。

Clause 3:用語、定義および略語

本節には、本規格内で使用される用語や略語の定義が記載されている。本節の用語定義を組織内にそのまま適用する必要はないが、本規格を正しく解釈する目的で参照されたい。

Clause 4:一般的考慮事項

本節には、本規格の適用における基本的な考え方が記載されている。また、適用範囲の詳細として、アフターマーケットの車載システムが対象となる一方、車外のシステム(バックエンドサーバなど)は対象外となる旨が示されている。

Clause 5 : 組織的なサイバーセキュリティ管理

本節には、個人や開発プロジェクトの単位では達成できない、組織として取り組むべき要求事項が定義されている。要求の軸は、サイバーセキュリティリスクを適切に管理するための仕組み、およびサイバーセキュリティ文化の構築と維持である。具体的には標準プロセス定義、リソース提供、能力管理、サイバーセキュリティ監査の実施、継続的な改善などが求められている。なおサイバーセキュリティ監査とは、プロジェクト活動に対するチェックではなく組織の標準プロセスに対するチェックの活動である。

Clause 6 : プロジェクト依存のサイバーセキュリティ管理

本節には、製品開発プロジェクトの単位で実施すべき管理活動について、要求事項が定義されている。要求は主に、サイバーセキュリティ関連活動の計画や、製品のサイバーセキュリティの論証、サイバーセキュリティアセスメントに関わるものである。計画に関しては、過去に開発したコンポーネントの再利用や既製品の採用といった戦略や、それに応じた組織標準プロセスのテーラリングに関する要求も扱われている。

Clause 7 : 分散サイバーセキュリティ活動

本節には、サイバーセキュリティ関連製品を分散開発する場合に適用される要求事項が定義されている。分散開発とはつまり、開発、生産や脆弱性情報の監視など、一部のサイバーセキュリティ関連活動を外部業者に委託する開発を指す。本節の真意は、活動の一部を外部業者に委託した場合でも、本規格の要求は例外なく適用されるという点にある。要求の軸は、発注者が受注者に本規格への適合を明確に要求することと、その上で両者間の責任分担を明確にすることである。

Clause 8 : 継続的サイバーセキュリティ活動

本節には、製品の脆弱性情報の収集と、それによって明らかになったサイバーセキュリティリスクの管理に関する要求事項が定義されている。これらの活動は、製品の開発中だけでなく、開発完了後も含めて継続的に実施すべきものと位置づけられている。本節は、サイバーセキュリティの特質が強く表れている節の一つと言える。故障に起因する安全リスクとは異なり、サイバーセキュリティリスクは時間とともに変化する特徴がある。その要因は、新たな脆弱性や攻撃手法の発見などである。本節は、そうしたリスクの変動に適切に対処するため、製品のライフサイクルを通じて継続的に脆弱性情報の収集とリスクの管理を行うことを要求している。
こうした活動は一般的に、製品開発プロジェクトとは別の、PSIRT(Product Security Incident Response Team)と呼ばれる体制の下で実施される。なお、本規格においてはClause 8およびClause 13が、いわゆるPSIRTの活動に該当する要求を扱っている。

Clause 9 : コンセプト

本節には、車両レベルで実施すべきサイバーセキュリティコンセプトの定義に関する要求事項が定義されている。コンセプト設計で定義される最重要要素はサイバーセキュリティゴールであり、これはサイバーセキュリティに関する最上位要件となる。コンセプト設計の実施主体は主にOEMだが、コンセプト設計ではサイバーセキュリティのコア要素が定義されるため、サプライヤの立場においても本節の要求事項を正しく理解しておくことは重要である。
サイバーセキュリティゴールは、車両レベルでの脅威分析およびサイバーセキュリティリスクアセスメントを通じて定義される。これらの活動は一般にTARA(Threat Analysis and Risk Assessment)と呼ばれ、本規格においてはClause 15がTARAに関する要求を扱っている。

Clause 10 : 製品開発

本節には、サイバーセキュリティコンセプトに基づいて実施される開発全般に関する要求事項が定義されている。本節の対象領域には、システム、ハードウェア、ソフトウェアが含まれており、サプライヤにおけるE/E製品エンジニアリング活動はほぼ全て本節の要求の対象となる。要求の大半は、上位要件を遵守しながら不具合のない製品開発を行うというエンジニアリングの基礎に基づくものである。これは、設計不具合やバグ自体がサイバーセキュリティ上の脆弱性となりうるためである。一方で、開発の各タイミングでサイバーセキュリティ上の弱点を見つけ出して対処するというサイバーセキュリティ独特の要求も含まれている。開発中に検出された弱点は必要に応じてTARAを通じた分析にかけ、その対処を決定する。本規格においてはClause 15がTARAに関する要求を扱っている。

Clause 11 : サイバーセキュリティ妥当性確認

本節には、製品におけるサイバーセキュリティゴールの達成確認に関する要求事項が定義されている。本節はエンジニアリングにおける最後の活動を扱っており、V字モデルに当てはめた場合Clause 9 コンセプトと同レベルの位置づけとなる。

Clause 12:生産

本節には、製品の生産におけるサイバーセキュリティリスク管理に関する要求事項が定義されている。要求の趣旨は、開発からのサイバーセキュリティ関連要求を確実に生産の仕組みに反映することである。ただし、それを実現するための基礎として(Clause 5において)生産プロセスのサイバーセキュリティ管理システムの確立が推奨されている点には注意が必要である。多くの場合、開発からの要求への適合以上に、基礎的なサイバーセキュリティ管理システムの確立により多くの時間と労力を要すると考えられる。

Clause 13:運用および保守

本節には、製品の開発完了からサポート終了まで継続する運用、保守に関する要求事項が定義されている。具体的には市場でのサイバーセキュリティインシデント対応が対象であり、その中にはソフトウェアアップデートの活動も含まれる。設計不良等の内的要因以外に、新たな脆弱性や攻撃手法の発見といった外的要因によってもインシデント対応が必要になる点が、サイバーセキュリティに特有と言える部分である。
本節で扱う活動は、Clause 8が扱う継続的なサイバーセキュリティ活動と連携して、いわゆるPSIRT活動の体を成す。

Clause 14:サイバーセキュリティサポートの終了および廃車

本節には、サイバーセキュリティに関するサポート終了の通知と、製品のセキュアな廃棄に関する要求が定義されている。廃棄については、製品が廃棄されるタイミングでメーカーやサプライヤに求められる活動は無いが、製品をセキュアに廃棄できるように予め手を打っておくことがメーカー/サプライヤの責務となる。例えば、個人情報リセット機能の組込みや、ユーザーマニュアルへの廃棄手順の記載などがこれにあたる。

Clause 15:脅威分析およびリスクアセスメント手法

本節には、各製品のサイバーセキュリティリスクを洗い出して分析、評価する一連の活動であるTARAに関する要求事項が定義されている。TARAは、資産の識別、脅威分析、影響分析、攻撃経路分析、リスク評価といった活動により構成される。TARAは、各製品のライフサイクルを通じて繰り返し実施すべき活動と位置づけられており、様々な活動から呼び出されて実行される、活動モジュールと捉えるべきものである。製品のサイバーセキュリティ方針を決定づける最も影響力の大きいTARAはコンセプトフェーズにおけるTARAだが、製品開発フェーズおよび開発後フェーズにおいても度々TARAは実行されるため、OEMだけでなくサプライヤも、本節の要求を正しく理解して仕組みを構築しておくことが重要である。