{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
2019-10-23
前回は、出荷後のセキュリティ活動について、特に監視活動に関する考察をしました。第9回は、出荷後のセキュリティ活動のうち、PSIRT活動の主体である「脆弱性対応、ファームウェア更新」「インシデントレスポンス」について考察します。
前回解説したとおり、車両および車両システムのセキュリティ対策は、多くのステークホルダーと連携しつつ、車両のライフサイクル全般で取り組まなければなりません。その中で市場利用(販売後)のフェーズにおけるセキュリティ対応で中心的な役割を担う体制が、PSIRT(Product Security Incident Response Team)でした。そしてPSIRTが活躍する主な活動は、ISO/SAE 21434における「サイバーセキュリティ監視」「脆弱性対応、ファームウェア更新」「インシデントレスポンス」となります。
サイバーセキュリティ監視とは、サイバーセキュリティインシデント事例、脅威情報、脆弱性情報などの自社製品に関連するサイバーセキュリティ情報を取得し、分析することでした。この活動で対応すべき脆弱性情報と判明した場合「脆弱性対応、ファームウェア更新」の活動を実施します。
新たに取得した脆弱性情報の内容を評価し、必要な対応を迅速に判断するために、企業は、事前に自社独自の評価基準を用意しておくことが求められます。脆弱性情報の評価基準は、標準化団体など※1を参考に各企業が作成すべきものですが、「影響度(安全性、財務、利便性、個人情報への影響など)」「発生可能性(脆弱性悪用の難易度、所要時間など)」といったフレームに基づき、統合的に評価できる基準が必要です。例えば「任意の不正なCAN※2メッセージを車載制御ネットワークへ送信することが可能な脆弱性」と「カーナビの操作が行えなくなる脆弱性」では、安全性への影響の大きさが異なるため、発生可能性が同じケースであれば、前者の脆弱性の深刻度が高くなると考えられます(図表1参照)。
影響度の評価を適切に実施するためには、各種ソフトウェア(オープンソースソフトウェア<OSS>、自社ソフトウェア、他社ソフトウェア)やプロトコルがどの製品のどのバージョンで利用されているかの情報を管理し、脆弱性情報の影響範囲を迅速、正確に把握できることが必要です。
脆弱性情報の評価においては、コンセプトフェーズや製品開発フェーズで実施された脅威分析との関係も重要です。外部から車両システムへの攻撃は、単一の脆弱性情報を利用する場合だけではなく、複数の脆弱性を利用することが多いです。脅威分析において、顕在化する可能性が低いと分類され、対応が先送りされた特定の脅威シナリオが、新たな脆弱性情報の出現で、顕在化可能性が高まり、優先度が高くなる場合があります。新たな脆弱性情報の出現は、既に実施済みの脅威分析への影響も確認し、適切に反映することが求められます。