車載機器向けファジングテスト支援サービス

セキュリティ開発における検証フェーズに該当するファジングテストを車載機器に対して実行し、テストレポートおよび異常発見時における再現性を確保するためのエビデンス(入力データなどの実行ログ)を提供します。ファジングテストの実施にあたっては独自のファジングツールを用いており、製品仕様および動作環境に応じた柔軟な対応が可能です。

コネクテッド製品の普及や、これらに対するさまざまな脆弱性報告の増加に伴い、自動車を対象とした国連法規であるUN-R155(CSMS※)や、欧州のサイバーレジリエンス法(CRA)など関連する法規制の施行が相次いでいます。そしてコネクテッド機能を持つ製品開発に携わる企業は、これらのサイバーセキュリティ対策に迅速に対応することが求められています。

車載機器については、CSMSによるリスクベースのセキュア開発プロセスに基づいたサイバーセキュリティ対策を行う必要がありますが、「その対策が正しく設計・実装されているか」「対策が合理的に想定される脅威とリスクへの十分な対応となっているか」を確認、実証するためのテストが必要になります(検証と妥当性の確認)。

こうしたテストで用いられる代表的な手法として「ファジング」があります。ファジングは、脆弱性を発見するための手法として古くから活用されており、上述の検証と妥当性確認においては、「機能が正しく実装されていることを確認する」ために行う検証(脆弱性テスト)の1つとして活用することができます。また、妥当性確認(ペネトレーションテスト)において、攻撃者目線で未知の脆弱性を発見するためのアプローチの1つとして利用することも考えられます(PwCのサービスは、前者の「検証」で行われるテストを想定しています)。

図表1 開発プロセスと対応するテスト

このように、ファジングはセキュリティテストにおける有効な手段の1つですが、複数の機能を持つ製品のそれぞれの機能をテスト対象とする場合、ツールを購入するか、複数のツールを組み合わせなければ、実施したい機能全てに対してファジングを実行できないことがあります。加えて、対象製品に合わせたファズデータや環境の設定を自身で行わなければならないケースもあるため、ファジングを実行するために必要な工数が増大してしまう可能性があります。

※CSMS(Cyber Security Management System):サイバーセキュリティに関連するリスクを処理し、自動車をサイバー攻撃から保護するための組織的なプロセス、責任および管理を明確化したリスクベースアプローチの管理システム

主要メンバー

山田 素久

ディレクター, PwCコンサルティング合同会社

Email

和栗 直英

シニアマネージャー, PwCコンサルティング合同会社

Email


【インサイト】WP29 CSMSに基づくセキュアな製品開発の実践

6 results
Loading...
Loading...

【インサイト】WP29への対応~自動運転車のサイバーセキュリティ

7 results
Loading...

インサイト/ニュース

20 results
Loading...

パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況

プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。

脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―

昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。

Loading...

本ページに関するご質問は下記にて承ります