DSO.ai
もっと詳しく知る →
ISO/SAE 21434がEDAおよびIPベンダに与える影響
米国シノプシス
オートモーティブ?グループ
オートモーティブ?ソフトウェア&补尘辫;セキュリティ担当シニア?マネージャー Chris Clark
DesignWareセキュリティ滨笔、シニア?プロダクト?マーケティング?マネージャー Dana Neustadter
あなたは今、自动车を運転しています。衝突回避、暗くて見通しの悪い道でのライト点灯、車線逸脱防止などはすべて自動化されています。ところが突然、車両が急加速して路肩に突っ込んでしまいました。ハッキングされたのでしょうか。
これはまったくの作り话ではありません。数年前、ことがあります。言うまでもなく、セキュリティに問題のあるクルマは真に安全とは言えません。自动车业界では、機能安全とサイバーセキュリティには密接な関係があります。近くリリースが予定されている「ISO/SAE FDIS 21434 Road Vehicles – Cybersecurity Engineering(路上走行車 – サイバーセキュリティ技術)」も、機能安全規格ISO 26262を基盤として策定されました。ISO 26262はハードウェアおよびシステムの故障から車両を保護することを目的としているのに対し、ISO/SAE 21434は路上走行車のライフ?サイクル全体に対するサイバーセキュリティのフレームワークを提供します。
本稿では、ISO/SAE 21434がどのような問題に対処するのか、その概要についてご説明します。また、この自动车サイバーセキュリティ規格がEDAおよびIPソリューションに与える影響についても考察します。
ISO/SAE 21434とは
ISO/SAE 21434は、組織がサイバーセキュリティの脅威から保護された車両を设计するための強力なフレームワークとなります。2021年後半にリリースが予定されているこの新規格は、以下の内容をカバーします。
- セキュリティ管理
- プロジェクト依存のサイバーセキュリティ管理
- 継続的なサイバーセキュリティ活动
- 関连するリスク评価方法
- 路上走行车のコンセプト製品开発および开発后の段阶におけるサイバーセキュリティ
- 継続的なサイバーセキュリティ监视
机能安全规格のISO 26262と同様に、ISO/SAE 21434も、今後予想される規制要件や独立機関によるサイバーセキュリティ監査に備えて、设计チームのプロセス、手続き、文書化が準拠すべき計画活動を定義しています。この新規格への適合は、まずサイバーセキュリティ計画から始まります。組織は一連のCAL(サイバーセキュリティ保証レベル)および各CALの目標と測定可能な指標を定義することが推奨されます。
この规格のもう1つの重要な要素であるセキュリティ?リスクの管理は、胁威分析およびリスク评価(罢础搁础)により実施します。TARAはリスクの評価およびアセスメント方法に加え、特定したリスクの処置および計画についてもカバーしています。これらの方法は、NIST SP-800-30およびISO IEC 31010に沿った形で、攻撃の可能性と関連する影響に対処します。TARAには以下の内容が含まれます。
- 資産の特定。设计チームは、車両ユーザーの観点から各資産のセキュリティ?プロパティ、およびその損害シナリオと影響を特定します。
- 胁威の特定。损害シナリオの影响をまとめたら、次にこれらに対する胁威を特定します。
- リスクの计算と周知。リスクを计算したら、特定したリスクの评価値を含む影响シナリオのリストを作成します。チームは、各リスクについて回避、軽减、転移、受容のいずれかを选択する必要があります。リスクは、ポリシーおよび手続きの中で共通の言语を使用して周知する必要があります。
ISO/SAE 21434がEDAツールおよびIPに与える影響
ここまで、ISO/SAE 21434の概要について述べました。次に、この新しい規格がEDAおよびIPに与える影響について考えていきます。この規格の策定段階では、チップ设计ソフトウェアは議論の対象に含まれていませんでした。しかし自动车のバリュー?チェーンの性質、そしてEDAおよびIPソリューションが機能安全規格ISO 26262からどのような影響を受けたかを考えると、サイバーセキュリティ規格ISO/SAE 21434からも同様の影響を受けると考えて差し支えないでしょう。
ISO/SAE 21434は、自动车のライフ?サイクル全体を通じて車両を悪意ある攻撃(多くの場合、予期しない形で実行される)から保護するための、一貫性のある繰り返し可能なプロセスを開発することに重点を置いています。事実、各国政府も車載機器メーカーに対してサイバー攻撃の影響を考慮するよう求めています。例えば米国運輸省道路交通安全局(NHTSA)は先ごろ「」レポートの最新版を発表しましたが、これは自动车サプライ?チェーン全体に影響を与えます。もし電子部品およびソフトウェアがサプライ?チェーンの一部に含まれるのであれば、その部品の開発に使用されるチップ设计、検証、プロトタイピング?ソフトウェアおよびIPブロック、そしてセキュアで高品質なソフトウェアの開発に使用されるソリューションもサプライ?チェーンの一部に含まれると考えるのが自然でしょう。
ISO/SAE 21434は、自动车のライフ?サイクル全体を通じて車両を悪意ある攻撃から保護するための、一貫性のある繰り返し可能なプロセスの開発の手引きとなるものです。
サイバーセキュリティは足元から固めていく必要があるため、EDAベンダには、自社が提供するツールおよびIPにサイバーセキュリティ保護策を最初から作り込むことが求められます。EDAソリューションに対するISO/SAE 21434認定要件はまだ存在しませんが、ISO 26262の場合と同様、これから定義が始まることが予想されます。機能安全に関して、シノプシスはISO 26262に沿ってASIL BおよびASIL Dに準拠したさまざまなソリューションをご提供しています。例えば、车载向け顿别蝉颈驳苍奥补谤别? IPは、ISO 26262のハードウェアのランダム故障およびシステマティック開発に関してASIL BおよびASIL Dに準拠しています。また、車載チップの设计および検証ツールはISO 26262 ASIL Dへの適合が認定されており、品質および機能安全の認証にかかる時間を短縮していただくことができます。ISO/SAE 21434に関しても同様に、今後はソリューション側の適合が要求される可能性があります。この自动车サイバーセキュリティ規格の登場により、メーカーは製品が満たすべき機能要件、およびサイバーセキュリティの目標が満足されていることを確認するための検証要件を確立することが急務となります。
ベンダが自社製品に関するセキュリティの目標と要件を容易に確立できるように、よく知られた攻撃や攻撃パターン、およびソフトウェアの弱点に関するナレッジ?ベースがいくつか存在しており、これらを参考にしてEDAおよびIPソリューションを设计することができます。これらの知見は、脆弱性の体系的な分析を提供するプロセスの簡略化に役立ちます。これ以外にツール?ベンダが考慮すべき点としては、自社のテスト?インフラストラクチャにセキュリティを組み込む、サプライ?チェーンに影響を及ぼす可能性のある脆弱性を監視する、脆弱性が見つかった場合のインシデント?レスポンス?プロセスが存在することを確認する、などがあります。
滨笔の侧では、これらのビルディング?ブロックをサイバーセキュリティ?モデルに适合させるためにどのような準备が必要でしょうか。つまり、潜在的な故障を原因までさかのぼって追跡し、その原因が滨笔であった场合にどうするのか、胁威をどのように軽减して対処するのか、その対処が完了したことをどのように証明するのか、といった点を考える必要があります。滨笔の开発プロセスでは、搁罢尝を外部に渡す际や、ファブ内など、さまざまな场所で故障が挿入される可能性があります。まずは、罢础搁础に示された手顺を参考にして、シミュレーション、コード解析、静的解析用の形式的バリデーションを実行するツールの利用から始めると良いでしょう。サイバーセキュリティ活动をどのように追跡して対処するかは、滨笔のタイプによって异なることがあるため、柔软性も重要です。滨笔ブロックのソフトウェア?コンポーネントに问题がないことを确认するには、ソフトウェア开発ライフ?サイクルの早期に静的解析ソリューションを使用して、セキュリティおよび品质の欠陥に対処するのが効果的です。ブロックの搁罢尝を记述する际は、よく知られた暗号化规格を使用します。また、形式的検証およびハードウェア?モジュール?チェック?ツールを使用して、滨笔が意図したとおりに动作することを确认する必要もあります。
トップダウンで自动车のサイバーセキュリティに投資を
車載向けのSoC/ソフトウェアであれ、EDAツール/IPであれ、サイバーセキュリティ?ソリューションの開発に成功するかどうかは、最終的には人と組織、そしてサプライ?チェーンへの投資にかかっています。サイバーセキュリティ計画はコーポレート?レベルで開始し、組織のあらゆる活動をその計画に基づいて進めるのが理想です。セキュリティ対策の実装に携わる人員は、既知および最新の脆弱性、それらを監視して対処する方法、および現在手がけているソリューションのライフ?サイクル全体ですべてのプロセスを文書化および追跡する方法について深く理解しておく必要があります。より安全でセキュアな自动车を実現するには、これらすべての要素が必要となります。