車載機器向けファジングテスト支援サービス

セキュリティ開発における検証フェーズに該当するファジングテストを車載機器に対して実行し、テストレポートおよび異常発見時における再現性を確保するためのエビデンス(入力データなどの実行ログ)を提供します。ファジングテストの実施にあたっては独自のファジングツールを用いており、製品仕様および動作環境に応じた柔軟な対応が可能です。

コネクテッド製品の普及や、これらに対するさまざまな脆弱性報告の増加に伴い、自動車を対象とした国連法規であるUN-R155(CSMS※)や、欧州のサイバーレジリエンス法(CRA)など関連する法規制の施行が相次いでいます。そしてコネクテッド機能を持つ製品開発に携わる企業は、これらのサイバーセキュリティ対策に迅速に対応することが求められています。

車載機器については、CSMSによるリスクベースのセキュア開発プロセスに基づいたサイバーセキュリティ対策を行う必要がありますが、「その対策が正しく設計・実装されているか」「対策が合理的に想定される脅威とリスクへの十分な対応となっているか」を確認、実証するためのテストが必要になります(検証と妥当性の確認)。

こうしたテストで用いられる代表的な手法として「ファジング」があります。ファジングは、脆弱性を発見するための手法として古くから活用されており、上述の検証と妥当性確認においては、「機能が正しく実装されていることを確認する」ために行う検証(脆弱性テスト)の1つとして活用することができます。また、妥当性確認(ペネトレーションテスト)において、攻撃者目線で未知の脆弱性を発見するためのアプローチの1つとして利用することも考えられます(PwCのサービスは、前者の「検証」で行われるテストを想定しています)。

図表1 開発プロセスと対応するテスト

このように、ファジングはセキュリティテストにおける有効な手段の1つですが、複数の機能を持つ製品のそれぞれの機能をテスト対象とする場合、ツールを購入するか、複数のツールを組み合わせなければ、実施したい機能全てに対してファジングを実行できないことがあります。加えて、対象製品に合わせたファズデータや環境の設定を自身で行わなければならないケースもあるため、ファジングを実行するために必要な工数が増大してしまう可能性があります。

※CSMS(Cyber Security Management System):サイバーセキュリティに関連するリスクを処理し、自動車をサイバー攻撃から保護するための組織的なプロセス、責任および管理を明確化したリスクベースアプローチの管理システム

主要メンバー

山田 素久

ディレクター, PwCコンサルティング合同会社

Email

和栗 直英

シニアマネージャー, PwCコンサルティング合同会社

Email


【インサイト】WP29 CSMSに基づくセキュアな製品開発の実践

6 results
Loading...
Loading...

【インサイト】WP29への対応~自動運転車のサイバーセキュリティ

7 results
Loading...

インサイト/ニュース

20 results
Loading...

2025年 Cyber IQ調査 ―生成AIの台頭とデジタル国境の形成に伴うサイバーリスクに企業はどう対応すべきか―

デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。

中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート

2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。

Loading...

本ページに関するご質問は下記にて承ります