組み込み開発
開発支援
Automotive SPICE®
セキュリティ
【講演レポート】サイバー攻撃リスクから車を守り安全な自動運転などの開発を支援
2022年12月20日
システム開発とソフトウェア開発の立場の違いによるサイバーセキュリティ対応の必要性
ISO/SAE 21434ではサイバーセキュリティ管理のために、品質管理システムの確立と維持についても要求事項として定義。品質管理を支援する規格として、IATF 16949などとともにAutomotive SPICEが記載されています。これに対して新海は「Automotive SPICE for CybersecurityはISO/SAE 21434との親和性が高く、これらの規格とモデルを組み合わせた製品開発を行っていくことが重要です」と指摘しました。
新海は、ISO/SAE 21434とAutomotive SPICE for Cybersecurityの構造について説明を続けます。ISO/SAE 21434ではアイテム、コンポーネント、サブコンポーネントに分かれた構造であるものの、要求事項のサイバーセキュリティ仕様ではシステム開発、ソフトウェア開発の異なる活動が1つの要求事項の中に定義されています。このため「実開発では、アイテム、システム、ソフトウェア開発といった開発者の立場の違いにより、設計・開発活動が異なることを理解、整理する必要がある」と新海は強調しました。
一方、Automotive SPICEの構造は、システム開発、ソフトウェア開発の各プロセス群が定義されています。ただ、Automotive SPICE for Cybersecurityで新たに追加されたサイバーセキュリティ関連のプロセス群は、システム開発とソフトウェア開発の違いを考慮した構造になっておらず、1つの基本プラクティスの中に定義されています。
例えば、アイテム、システム、ソフトウェア開発レベルで行われるサイバーセキュリティゴールの導出やサイバーセキュリティ要件の導出についても、1つのプラクティスとして定義。そこで、「Automotive SPICE for Cybersecurityにおいても、アイテム、システム、ソフトウェア開発の立場の違いによる異なる活動の整理が必要です。さらに要求事項やプラクティスの記述順序は活動の順序を表すものではないため、開発において活動順序や活動の呼び出し関係を正しく理解する必要があります」(新海)と解説しました。
PFDを活用してセキュリティ要件などを整理
こうした活動順序や活動の呼び出し関係を理解するためのアプローチとして、プロセスを可視化するPFD(Process Flow Diagram)があります。アイテム、システム、ソフトウェア開発といった異なる立場に応じ、Automotive SPICE for Cybersecurityの基本プラクティス(BP)とISO/SAE 21434の要求事項(RQ)、作業成果物(WP)についてPFDを活用し、情報を整理するというものです。
PFD活用事例として、SEC.1サイバーセキュリティ要件抽出におけるアイテムレベルとシステム開発レベルの違いを説明。「アイテムレベルでは、サイバーセキュリティゴールとサイバーセキュリティ要件の導出を2段階に分けて整理することがポイント」(新海)と加えました。
その進め方は、脅威分析とリスクアセスメントの実施で生成されたサイバーセキュリティシナリオ登録と、アイテム定義を入力情報として、サイバーセキュリティゴールを導出。さらに、そのサイバーセキュリティゴールを入力情報としてサイバーセキュリティ要件を導き出し、アイテムレベルのシステム要件仕様書を作成します。
システム開発レベルにおいては、アイテムレベルで作成されたサイバーセキュリティコンセプトを入力情報として、システム開発レベルのサイバーセキュリティ要件を導き出し、システム要件仕様書を作成。また、アイテムレベルでは脅威シナリオとサイバーセキュリティゴール、およびサイバーセキュリティゴールとサイバーセキュリティ要件との紐付け、システム開発レベルでは、サイバーセキュリティコンセプトとシステム開発レベルのサイバーセキュリティ要件との紐付け、とトレーサビリティ管理の対象物が異なることにも注意が必要です。
そして、Automotive SPICE for CybersecurityのBPとISO/SAE 21434のRQなどをまとめたサイバーセキュリティ対応活動の考慮点を図示。新海は「アイテムレベルとシステム開発レベルの異なる活動をどのように進めていくかが理解できると思います。モビリティに関連する国際規格や開発モデルの対応支援など、お客様のニーズに合わせたソリューションを用意していますので、ご活用ください」と述べ、講演を締めくくりました。
新海 良一
株式会社日立ソリューションズ
モビリティソリューション本部 オートモティブソリューション部
主任技師
入社以来、UNIX OS、ミドルウェア(RPC、ネームサーバー)などの開発に従事。ミシガン大学コンピュータサイエンス&エンジニアニング学部での研究を経て、自社製品(インタラクティブホワイトボード)の開発およびSEを担当(内3年間、米国法人でのテクニカルマネージャー担当を含む)。現在は、Automotive SPICE Principal assessorおよびCMMIリードアプレイザ、インストラクタ資格を活用した国内および海外向けコンサルティング・アセスメントサービスを展開中。
【講演資料】車載サイバーセキュリティ対応の開発アプローチ
2022年10月にWebセミナー「DX Future Days 2022」が開催されました。当日のモビリティセッションの講演資料をダウンロードいただけます。