WP29 CSMSに基づくセキュアな製品開発の実践―資産の識別の実践と注意すべきポイント

WP29 CSMS^※1に対応する製品開発を実践するにあたって注意すべきポイントを紹介する本連載。第1回では「脅威分析とリスクアセスメント（TARA）」の分析プロセスにおいて、「資産の識別」と「今後分析していくべき対象の定義」を最初に実施すべきであるとお伝えしました。今回は「資産の識別」の実践と注意すべきポイントに焦点を当て、具体的な手順を解説します。

資産の識別手順

最初に識別すべき「資産」について説明します。

資産は守るべきデータである「情報資産」と、侵害されるべきではない「機能資産」の2つに大別されます。この2つを「守るべき資産」として洗い出し、システム内のどのコンポーネントに紐づくかを整理することが、「資産の識別」のゴールになります。

次に「資産の識別」の手順を紹介しましょう。大まかな手順は以下のとおりです。

開発プロセスの中で通常実施される機能要求から、システム構成を把握する。
その中でシステムに包含されるコンポーネントを整理する。
機能要求の定義をする過程で、損害シナリオを分析する。
コンポーネントを整理する過程で、攻撃パスを分析する。

なお、ここで言う「損害シナリオ」とは、「この機能が侵害された場合、どのような損害が発生するか」という想定される被害および損害を導出し、どのような状況下においてその攻撃が成立するかという攻撃パスを技術的に推測するプロセスを指します。

守るべき資産とコンポーネントを紐付けるためには、車両を構成するさまざまなアイテムの範囲内（境界内）で、サイバー攻撃の対象となり得る資産を適切に識別する必要があります。具体的には、アイテムを構成するシステムアーキテクチャや自動駐車機能など、各アイテムが提供する価値を実現するうえで不可欠なデータや機能です。これらのセキュリティが侵害をされた場合に発生するであろう被害を起点として、保護すべき資産を洗い出すのです。

この作業には「可用性」「機密性」「完全性」の3要素から情報セキュリティ資産を特定する側面と、アーキテクチャを観点にして、「このコンポーネントの中ではどこの資産が攻撃される可能性があるか」を特定する側面があります。資産はさまざまなレイヤーに存在していますし、資産間の関連性もあります。ですから、網羅性を担保するためにも構造化して洗い出す必要があるのです。

資産を識別する際のポイントは、効率性と網羅性のバランスをとることです。言い換えれば、「どのくらいの粒度で資産を登録するか」を決めることです。

効率性を重視し、荒い粒度で資産を識別すると、資産の網羅性を担保できません。かといって網羅性を重視し、資産を細かく分析していくと、資産の数は膨大になります。その結果、後続の攻撃パス分析や損害シナリオの分析対象がほかの資産と重複し、分析に手間がかかってしまいます。

細分化を進めた結果、重複する部分やまとめたほうが効率的だと判断される部分が発生した場合には一段たち戻り、上のレイヤーで資産として登録するといった作業も必要です。重要なのは分析の網羅性を担保しつつも、分析の重複が発生しないような粒度で資産を識別することです。

では、「適切な粒度」を決めるにはどうしたらよいのでしょうか。残念ながら、現在は明確な尺度が存在していません。各社ともに試行錯誤しながら分析を進めている状態です。

PwCではメモリやインタフェースといった、システムを構成する部品からボトムアップで積み上げるのではなく、侵害された場合に何が発生するかという「損害シナリオ」を明確に描き、それをブレークダウンしていく方法で細分化することを推奨しています。

資産を適切な粒度で定義することで、部品ごとの重複した攻撃パスを排除し、後続する分析作業の効率が向上します。また、OEMやサプライヤーとの円滑なコミュニケーションができるようになり、最終的なセキュリティ品質の向上につながると考えています。

WP29対応への素朴な質問

質問

「型式指定制度」について教えてください。2022年の段階で同制度の認可を取得するには、どのような機能を搭載することになるのでしょうか。

回答

自動車会社が新型の自動車を生産・販売する場合、その自動車が国の定める「安全性」や「環境性能」などの技術・保安基準を満たしているかどうかの審査を受ける必要があります。「型式指定制度」とは量産車モデルに適用される制度で、事前にサンプル車と品質管理システムの審査に合格した「型式指定を受けた車両」は、量産開始後に一台ごとに国の審査を受けなくてもよいというものです。

2022年の段階で、型式指定制度の認可を取得できる車種は無線通信（Over-The-Air：以下、OTA）機能を搭載した車種に限定されます。したがって、同社種はWP29 CSMSではなく「車両等の型式認定相互承認協定^※2」の枠組みの中のサイバーセキュリティ対策・ソフトウェアアップデート規則で規定されています。

量産車モデルが適用される車両で実装すべき機能は、「どの車両に」「どのソフト（ファーム）ウェアの」「どのバージョンが搭載されているか」をトラッキングできるトレーサビリティシステムが必要になると考えています。ソフトウェアをアップデートする際のバージョン管理がきちんとできるかどうかといった仕組みの実装は、必須になると考えています。

質問

今後、車載ソフトウェアのアップデートはOTA機能が主流になるのでしょうか。その場合、OTAのセキュリティはどのように担保されるのでしょうか。

回答

OTAは自動車業界に大きなインパクトを与える機能として注目されています。たとえば、すでに販売された車両に対してもOTAを利用して自動運転機能を追加できますし、ソフトウェアのアップデートや修正プログラムも迅速に配信できます。その反面、ソフトウェアのアップデートシステムなどを悪用すれば、遠隔地から車両を攻撃できる可能性もあります。

OTAに関する規定は「UN WP 29 Software Update Management System Regulation」に書かれています。そこでは、「OTA機能を悪用されないよう、ソフトウェアアップデートが正式なものであるということを証明する仕組みと、それを管理する仕組みを導入する必要がある」と指摘されています。

また、ソフトウェアアップデートを行うための通信回線に対する基本的なセキュリティ対策も規定されると予想されます。具体的には、通信の暗号化やアップデートにおける完全性の確保、通信切断によるソフトウェアの破損を想定した対策などが考えられます。

^※1 CSMS（Cyber Security Management System）：サイバーセキュリティに関連するリスクを処理し、自動車をサイバー攻撃から保護するための組織的なプロセス、責任及び管理を明確化したリスクベースアプローチの管理システム。

^※2 車両等の型式認定相互承認協定……1958年に締結された国連欧州経済委員会（ECE）の多国間の協定。車両等の型式認定相互承認協定は、自動車の装置ごとの安全・環境に関する基準の統一、および相互承認の実施を図ることを目的としている。

WP29 CSMS対応ツール活用メリットを2分で解説

自動車に関する国際法規であるWP29 UNR155に適合するため、車両OEMとサプライヤーは、適切なサイバーセキュリティ要件を導出し、それを満たす製品を開発することが求められています。PwCが提供する「WP29 Cyber Security Management System（CSMS）支援プラットフォーム」は、セキュアな製品開発において最も重要である脅威分析を効率的に実施するためのウェブツールであり、脅威や攻撃に関する最新の情報を提供します。

詳細はこちら

車両サイバーセキュリティの未来

車両のデジタル革命によって、次世代のモビリティ社会が形作られる一方で、各国の政策や規制により変化の速度が決定されている面があります。その要因の一つがサイバーセキュリティへの懸念です。
車両サイバーセキュリティに関する国際規格や製品ライフサイクルにおける重要論点の解説やクライアントとの対談を通じ、車両サイバーセキュリティの将来をひもときます。

詳細はこちら