WP29 CSMSに基づくセキュアな製品開発の実践―自動車に特化した脅威マトリクスとしての活用に期待が寄せられるAutomotive Threat Matrix
脅威分析やリスク評価、セキュリティテストなどさまざまな用途での活用が期待できる「Automotive Threat Matrix」について、その特徴や「MITRE ATT&CK」との違い、活用イメージについて紹介します。
自動車は急速にIoT化が進んでいます。インターネットにつながる「コネクテッドカー」技術に関連する市場規模は、2022年には2017年の約3倍になると予測されています。
コネクテッドカーの市場が広がるにつれて、悪質なハッカーが車両システムを乗っ取るリスクなどが顕在化しています。そのため、自動車メーカーやサプライヤーは、サイバー攻撃を防ぐために、サイバーセキュリティ対策への取り組みが不可欠になってきました。
2015~2022年のコネクテッドカーの売り上げと市場シェアの製品パッケージ別予測 引用元:PwC Strategy&「コネクテッドカーレポート2016[PDF 1,134KB]」
コネクテッドカーには無線通信機器、車間通信システム、車両制御機器など、数多くのシステムモジュール(IoT機器など)が搭載されています。それらの機器は、サイバー攻撃を受ける可能性があります。
研究者により、車両システムに遠隔操作ができる脆弱性が見つかりました。携帯電話で使われるセルラーネットワーク経由で、車内システムへアクセスすると、ハンドルの操作が可能でした。この問題の対策を行うために対象車両の回収・対策を行うと、莫大な損害が発生することが予見されます。
車の無線アクセスポイントに脆弱性が存在し、車内制御システムが携帯電話からハッキングできました。それにより、盗難防止アラームの無効化や、エアコン、ライトなどの車載機器を自由にコントロールすることができたのです。
コネクテッドカーには、多くの攻撃対象となり得る侵入経路がある
コネクテッドカーを支えるサービスインフラやプロトコルなど、広域に影響をもたらす箇所をターゲットにした攻撃によって車内システムに侵入され、情報が盗まれたり、車両の制御を奪われる可能性があります。
車両への直接攻撃リスクと、コネクテッドカーを取り巻く環境・基盤への攻撃リスクがある
コネクテッドカーは、従来の自動車と違い、開発から廃棄までの全てのライフサイクルで、セキュリティプロセスが必須です。多くのサプライヤーの部品で完成車となるため、サプライチェーンのビジネスパートナーを含めたセキュリティ管理体制が必要となります。万全を期すために、開発者視点でセキュリティ基準に準拠しているかの評価と、攻撃者視点で基準そのものの妥当性評価、両方の視点が必要です。
PwCでは、コネクテッドカーのセキュリティ対策に向けたサービスをご用意しています。
PwCが提供する「WP29 Cyber Security Management System (CSMS)支援プラットフォーム」は、セキュアな製品開発において最も重要である脅威分析のための最新の脅威・攻撃情報を提供し、リスクアセスメントの効率的な実施を支援します。
PwCは、デファクトスタンダートであるISO21434に基づくプロセスの構築に向け、セルフアセスメントシートやチケット制のQAサポートにより、自社でのクイックなCSMSプロセスの構築を支援します。
セキュリティ開発における検証フェーズに該当するファジングテストを車載機器に対して実行し、テストレポートおよび異常発見時における再現性を確保するためのエビデンス(入力データなどの実行ログ)を提供します。
脅威分析やリスク評価、セキュリティテストなどさまざまな用途での活用が期待できる「Automotive Threat Matrix」について、その特徴や「MITRE ATT&CK」との違い、活用イメージについて紹介します。
WP29 CSMSに対応する製品開発実践のポイントを紹介する連載「WP29 CSMSに基づくセキュアな製品開発の実践」。第5回はソフトウェアに潜む既知もしくは未知の脆弱性を検出するため、仕様外の動作を検出する「ファジング」について紹介します。
WP29 CSMSに対応する製品開発実践のポイントを紹介する連載「WP29 CSMSに基づくセキュアな製品開発の実践」。第4回は開発の最後に実施する「脆弱性テスト」と「ペネトレーションテスト」に焦点を当てます。
WP29 CSMSに対応する製品開発実践のポイントを紹介する連載「WP29 CSMSに基づくセキュアな製品開発の実践」。今回は次のステップとなる攻撃シナリオに注目し、具体的な攻撃パス分析の手順を解説します。
自動車のデジタル化やサプライチェーンの複雑化などにより、自動車産業のサプライチェーン全体でサイバーセキュリティに対する要求が高まっています。今後リリースされる予定のTISAX VCSについて、確認項目の概要やISO/SAE 21434の要件との関連性について解説します。
脅威分析やリスク評価、セキュリティテストなどさまざまな用途での活用が期待できる「Automotive Threat Matrix」について、その特徴や「MITRE ATT&CK」との違い、活用イメージについて紹介します。
発行間近のAutomotive SPICE® for Cybersecurityの内容や、活用のポイントなどについて解説します。
PwCコンサルティング合同会社は、WP29 サイバーセキュリティ法規に基づくCSMS(Cyber Security Management System)への現在の対応状況について調査を実施しました。本稿では、その結果について解説します。
今回はTier1サプライヤーとして車両セキュリティの根幹を支えるパイオニア株式会社のご担当者をお招きし、CSMSに対応した開発プロセスや組織構築の具体的な取り組みなど、CSMS対応製品の開発で留意しているポイントなどについてお話しいただきました。
J-Auto-ISAC 理事 セキュリティオペレーションセンターでセンター長を務める井上弘敏氏と、UNR155適用で自動車業界に求められる対応について議論を深めました。
今回は主に自動車に関わるサイバーセキュリティ情報の収集・分析を行う「一般社団法人J-Auto-ISAC」でサポートセンター長を務める中島一樹氏に、活動内容についてお話を伺いました。
自動車のサイバーセキュリティとソフトウェアアップデートに関する国際法規基準は、自動車業界を今後どう変え得るのか。車両サイバーセキュリティのプロフェッショナルが意見を交わしました。
PwCは、『2022年グローバル自動車CSMS調査』において、OEMやサプライヤーがこれらのシステムをどの程度実装しているのか、今後さらにどのような取り組みを行っていく必要があるのかについて調査しました。
コネクテッドサーバーを介してのコネクテッドカーに対する攻撃可能性を検証するため、実施したハッキングコンテストにより発見された脆弱性などについて解説します。