{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
WP29への対応―Automotive SPICE® for Cybersecurityの適用について
はじめに
UNECE WP29 GRVA1のサイバーセキュリティ法規基準(以降UNR155)が成立し、自動車業界はサイバーセキュリティマネジメントシステム(CSMS)の整備を中心に対応を迫られています。
国内や欧州で2022年7月以降に販売される新型車から、同法規基準への対応が求められています。各国の自動車各社は、車両が製造されてからその役割を終えるまでの期間を見据えたプロセス構築とその運用方法の検討など、課題に直面しつつも、対応を急ピッチで進めています。
UNR155で求められるプロセスを具体化するため、並行して整備が進む自動車サイバーセキュリティの各規格の文書が参照されています。WP29 サイバーセキュリティ法規―CSMS対応の実態調査でもお伝えしたように、各社は「ISO/SAE 21434」を筆頭に、「TISAX(Trusted Information Security Assessment Exchange)2」「Automotive SPICEⓇ for Cybersecurity」など数ある文書の中から、自社に適したフレームワークを検討し、効果的に活用することが求められています。
ISO/SAE 21434を活用した対応については過去の記事で説明しましたが、発行間近のAutomotive SPICEⓇ for Cybersecurity(以下A-SPICE for CS)は、UNR155やISO/SAE 21434と整合している上、従来の車両開発とも高い親和性を持つフレームワークとして注目されています。今回はその内容、ISO/SAE 21434との違い、および活用のポイントを紹介します。
Automotive SPICEⓇ v3.1、Automotive SPICEⓇ for Cybersecurityの概要
2005年に初版が発行されたAutomotive SPICEⓇは、VDA QMC(ドイツ自動車工業会 品質管理センター)によって管理されている車載システム開発向けのプロセスモデルです。客観的なプロセス評価や、プロジェクトや組織レベルでのプロセス改善のための業界標準のモデルとして、自動車会社(OEM)・部品製造会社(サプライヤー)を問わず、現在まで活用され続けています。Automotive SPICEⓇv3.1(以下A-SPICE)はそのアップデート版で、「プロセス参照モデル(PRM3)」と「プロセス評価モデル(PAM4)」から構成されています。
そして2021年2月、UNR155の要求事項に含まれる「サプライチェーンにおけるサイバーセキュリティリスクの特定および管理」に対応するため、A-SPICEのフレームワークにサイバーセキュリティの要素を組み込んだA-SPICE for CSのYellow Volume(ドラフト版)が、発行されました。Yellow Volumeは2021年5月まで公開され、各社からのフィードバックを得たのち、2021年秋頃に正規版が発行される予定です。
A-SPICE for CSのPRMは、A-SPICEのPRMをベースにサイバーセキュリティ関連のプロセスが定義(新設・改訂)された拡張版です。このため、実際に活用する場合には、A-SPICEを十分に理解したうえで、A-SPICE for CSで追加定義されたプロセスを理解し、対応することが肝要です。
ISO/SAE 21434とA-SPICE for CSの比較概略
ここでは、UNR155へ対応するために効果的な規格であるISO/SAE 21434とA-SPICE for CSのそれぞれがカバーするプロセスの範囲や、プロセスにおける記述方法の違いについて概説します。
対象範囲
ISO/SAE 21434は組織及び開発プロジェクトとして求められる車両の企画・開発から生産、廃棄に至る製品ライフサイクル全般のサイバーセキュリティを確保するために必要な要求事項がまとめられており、UNR155との対応性が高いことは過去記事でも概説しました。
対して、A-SPICE for CSは、開発プロセスモデルであるA-SPICEがベースとなっていることから、組織的なサイバーセキュリティマネジメントや、生産から運用、保守、廃棄といった開発終了後のフェーズを含む組織としてのCSMS体制の構築についてはカバーされていない部分がありますが、一方で開発プロジェクトにおけるコア業務に関する要求事項がより詳細に記されています。
記述方式
ISO/SAE 21434には、主にISO/SAE 21434の各章で求められる目的を達成するための作業内容への要求事項が記載されているのに対し、プロセスモデルであるA-SPICE for CSには、主に各プロセスの要求事項、及びそれを達成するための一連の作業内容が書かれています。
UNR155に対応するために、A-SPICE for CSを参照するのも1つのオプション
ISO/SAE 21434とA-SPICE for CSはそれぞれのアプローチで車両サイバーセキュリティに関する要求事項を整理しており、どちらもUNR155対応において参照するメリットがあると言えます。
A-SPICEを開発プロセスに組み込み、開発現場ですでに運用している企業は多いと見られます。そうした企業が新たにサイバーセキュリティに対応した開発プロセスを構築する際には、A-SPICEベースで整理されたA-SPICE for CSに沿ってプロセスに取り込むことで、開発現場での混乱や、関係サプライヤーに与える影響を最小化できると推察されます。
さらには、A-SPICEとA-SPICE for CSでは、出力成果物(output work product)を共用しているケースが多いため、導入の際に新規に整備しなければならない出力成果物の増大を抑制することができるでしょう。
また、A-SPICE for CSは一連の作業内容が記載されているプロセスモデルであるため、社内開発プロセスを新たに構築する際も、参考にしやすいのではないでしょうか。
前述の通り、ISO/SAE 21434は組織的なCSMS構築を含むUNR155で求められるサイバーセキュリティ業務を包括的にカバーした、先行する国際規格です。多くの企業が2020年2月に発行されたDIS版や、2016年に発行された前身のSAE J30616を参考にURN155対応を推進してきたことと思います。一方で、サイバーセキュリティという新たな取り組みの導入にあたって、A-SPICEを含む既存の開発プロセスとの融合や住み分けに苦慮してきた企業も多いことでしょう。
図表3のプロセスマップに示した通り、既存の開発業務やISO/SAE 21434、A-SPICE for CSの要求プロセスにおける対応関係を適切に整理した上でプロセスを検討することで、2つの規格を用いるメリットを両立しつつ、各社に適した形でURN155対応を実現できると考えられます。
今後新たにUNR155対応に取り組む企業にとっても、すでにISO/SAE 21434ベースの対応を進めてきた企業にとっても、A-SPICE for CSを参照することは選択肢の1つになり得ると言えます。
1国連欧州経済委員会(United Nations Economic Commission for Europe)の「自動車基準調和世界フォーラム(WP29)」の分科会「自動運転(GRVA)」
2ドイツ自動車工業会(VDA)により、ドイツの自動車業界において広く採用されるセキュリティ評価の仕組みであり、自動車会社は取引先に対して、この基準に基づいて外部の審査機関による監査を受けることを求めている。概要については、PwC TISAX認証取得支援サービス TISAX 概要を参照
3プロセス間の関係を表したアーキテクチャとともに、プロセスの目的および成果に関して記述されたプロセスの定義を含んだモデル
4プロセス参照モデルに基づき、プロセス品質特性を客観的に評価するためのモデル
5 FDIS: Final Draft International Standard
6 SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems
WP29 CSMS対応ツール活用メリットを2分で解説
自動車に関する国際法規であるWP29 UNR155に適合するため、車両OEMとサプライヤーは、適切なサイバーセキュリティ要件を導出し、それを満たす製品を開発することが求められています。PwCが提供する「WP29 Cyber Security Management System(CSMS)支援プラットフォーム」は、セキュアな製品開発において最も重要である脅威分析を効率的に実施するためのウェブツールであり、脅威や攻撃に関する最新の情報を提供します。
1:57
車両サイバーセキュリティの未来
車両のデジタル革命によって、次世代のモビリティ社会が形作られる一方で、各国の政策や規制により変化の速度が決定されている面があります。その要因の一つがサイバーセキュリティへの懸念です。
車両サイバーセキュリティに関する国際規格や製品ライフサイクルにおける重要論点の解説やクライアントとの対談を通じ、車両サイバーセキュリティの将来をひもときます。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
