路上走行車のサイバーセキュリティを規定したISO SAE 21434への対応準備はできていますか？

ISO SAE 21434の目標は、機能安全規格ISO 26262を基に、路上走行車のライフサイクル全体に対して同様のフレームワークを提供することです。この新しい規格の主な要素には、セキュリティ管理、プロジェクト依存のサイバーセキュリティ管理、継続的なサイバーセキュリティ活動、関連するリスク評価方法、路上走行車のコンセプト製品開発および開発後段階におけるサイバーセキュリティが含まれます。

車両およびシステムの開発プロセスは長年にわたって改良され、仕様と検証のタスクを標準化するために役立てられています。シノプシスは、現在では自動車OEMやTier1サプライヤーなどのシステム開発プロセスにサイバーセキュリティが組み込まれている可能性が高いことを理解しています。喫緊の疑問は、今後の規格が製造やサービスデリバリーのプロセスにどのような影響を与えるかということです。このブログ投稿では、ISO SAE 21434に備えて統合する必要がある主要な作業成果物と組織プロセスについての概要を説明します。

サイバーセキュリティ計画から始める

サイバーセキュリティ計画とは、大まかに言って、サイバーセキュリティ活動とその進捗状況を追跡するプロジェクト計画です。この計画には、サイバーセキュリティ活動の目標と依存関係、およびその責任当事者、リソース、関連するタイミングが含まれている必要があります。サイバーセキュリティ計画は、サイバーセキュリティに関する他のすべての作業成果物を特定し、内部および外部の両当事者にとって中心的な文書としての役割を果たします。ミッションステートメントと大目標が1つのドキュメントに組み込まれたものと考えてください。

サイバーセキュリティの保証レベルを定義する

サイバーセキュリティの保証レベルは、技術仕様ではなく、厳格な観点から要件を規定します。この保証レベルを用いて、個々の目標と長期的なプログラム目標を設定できます。保証レベルはプログラムレベルの要員とサイバーセキュリティエンジニアとの間のコミュニケーションを簡素化し、保証が確実に実現されるようにするためにも役立ちます。

サイバーセキュリティの保証レベルは本質的に累進的である必要がありますが、組み合わせて特定の目的への到達を目指すことができます。レベルの数はサイバーセキュリティ計画によって異なりますが、レベル間に明確な線引きが必要であり、関連する目標を指定する必要があります。これを実現するには、保証の目標や説明を規定し、保証レベルを裏付けるビジネスケース、根拠、または理念を提示する方法が優れています。最後に、技術的な目標に関連付けることができる測定可能な指標を定めます。サイバーセキュリティ・プログラムが成熟するにつれて、これらの技術的な目標と指標が洗練されていきます。このような変化する技術的目標は、保証目標とは独立している必要があります。