車載製品に対するセキュリティテスト実施支援

自動車に関するサイバーセキュリティの国際法規であるWP29 UNR155に対応するため、関連する製品に対するセキュリティテストの実施が必要になっています。法規制に適合するためのファジングテストやペネトレーションテスト等、一連のセキュリティテスト項目の立案、テスト計画の策定、テストの実施とレポートおよび修正案の策定までを支援します。

セキュリティテストに求められる観点

セキュリティ品質の確認段階で行うセキュリティ関連のテストには2つの目的があります。

1つは上流工程で行った分析を受けて適切な対策が実施されているかを確認するための「検証」、もう1つは想定される脅威を目標として設定し、それが達成できてしまうかどうかをテストする「妥当性確認」です。製品に潜む脅威を完全に排除するためには両方の観点のテストが必要であり、限られた開発期間内で必要十分なテストを実施することが重要になります。

図1：セキュリティテストの2つの目的

テスト要件の導出と責任分担

自動車の最終的な安全に責任を持つのはOEMであることに疑問の余地はありませんが、「どこまで対策していれば安全という線引きが難しい」というセキュリティの特性から、車両の分散開発においてはセキュリティに関するテスト要件を出すのが誰で、テストを実施するのが誰か、という点が課題になります。

V字型の開発モデルで考えると、テスト要件は対となる設計フェーズでのアウトプットをもとに作成されるのが原則ですが、機能要件から導き出される検証のためのテストケースは上流工程から導出可能なものの、「想定していなかった脆弱性をあぶりだす」ためのテストは実装に依存することもあり、OEMから明確なテストケースを提示することは難しいのが現実です。よって「ペネトレーションテストを実施すること」「ファジングテストを実施すること」といった漠然とした要件になりがちであり、テスト実施の責任の所在が曖昧になるおそれがあります。

図2：V字型開発モデルにおけるセキュリティテストの位置付け

PwCのサービス

PwCは、国際規格で求められる要件を満たすために必要な、テスト全般を網羅したセキュリティテスト実施支援を提供します。以下のメニューの中から対象とする製品に必要なテストを選択し、必要な工程だけを支援することが可能です。

テストシナリオ策定とテストの実施（ペネトレーションテスト）

妥当性確認を目的としたペネトレーションテストのテストシナリオ策定からテストスケジュールの検討、テストの実施とレポートまでを支援します。製品の持つ機能や特性から、必要なテスト項目を定義し、期間内に実施すべきテストシナリオを策定し、テストを実行します。また、結果をレポートとしてまとめるとともに、改善が必要な点とその改善方法についてのアドバイスも提供します。

図3：ペネトレーションテスト

デザインレビュー／コードレビュー

作成されたコードの検証を目的として、設計のデザインレビューおよびツール・技術者によるソースコードのレビューを行います。MISRA Cなど実績のある規格に沿っているか、コードに脆弱性がないかなどをチェックすることで脆弱性をあぶりだします。チェックの結果をレポートとしてまとめるとともに、修正の要否や修正方法についてのアドバイスも提供します。

図4：デザインレビュー／コードレビュー

ツールを使ったファジング／脆弱性検査

ソフトウェアの予期しない動作の検出や既知脆弱性の存在確認のため、ツールを使ったファジングテストや脆弱性検査を実施します。テストに必要なツールを提供するだけではなく、どのプロトコルに対してどのようなテストケースを実施すればよいかの設計を行うとともに、ツールを実行し結果をレポートします。

図5：ファジング／脆弱性検査

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}

サイバーセキュリティ＆プライバシーの最新情報をニュースレターでお届けします

ニュースレター新規登録フォーム

主要メンバー

林和洋

パートナー, PwCコンサルティング合同会社

山田素久

ディレクター, PwCコンサルティング合同会社

奥山謙

ディレクター, PwCコンサルティング合同会社

和栗直英

シニアマネージャー, PwCコンサルティング合同会社

セキュアクラウド推進支援に関する

お問い合わせフォーム

車載製品に対するセキュリティテスト実施支援

セキュリティテストに求められる観点

テスト要件の導出と責任分担