自動車サイバーセキュリティ規格「ISO/SAE21434」完全習得講座 ～UN-R155適合に必要なノウハウやわかり難い点を徹底解説～

セミナー趣旨

  2021年1月に自動車のサイバーセキュリティ法規“UN-R155”が発行され、2022年7月以降に発売される一部の車両から、サイバーセキュリティ対策の義務化が始まっています。
  UN-R155サイバーセキュリティ法規を満たすためには、法規と平行して策定され、2021年8月に発行された自動車サイバーセキュリティ規格“ISO/SAE 21434”の準拠が必要です。そのため、義務化に向けて“ISO/SAE 21434”の規格内容を曖昧でなく、正しく理解しておくことが非常に重要になってきます。
  本セミナーでは、まず自動車に対するハッキング事例を通じて自動車に迫る脅威を認識した後に、UN-R155法規の策定背景と具体的な要求事項を解説します。
  その後、受講者の方にISO/SAE 21434の全体概要を掴んで頂くために、[１]サイバーセキュリティマネジメント（組織＆仕組み）の構築方法、[２]サイバーセキュリティリスクアセスメントの考え方、[３]製品開発プロセス（設計／実装／評価）の概要、[４]製品開発からSIRT活動を通じた脆弱性の管理方法について解説を行います。
  また、本講座では、ISO/SAE 21434の中でも、脅威分析／脆弱性分析等、特に理解が難しいサイバーセキュリティリスクアセスメントの内容を、脅威分析からセキュリティ対策導出までの流れに沿って、独自の解釈／解説と具体事例をふまえ詳しく解説します。
  なお、本講座は現役の組込みエンジニアが講師を行います。規格や仕様に関する知識だけでなく実際の開発体験を交えて、自動車向けのセキュリティ対策に必要なノウハウを１日で分かりやすくお伝えします。

受講対象・レベル

・OEM／サプライヤで、自動車のセキュリティ対策の導入を始める方
・サイバーセキュリティに関連する車載ECUの開発に携わっている方
　など

習得できる知識

・UN-R155サイバーセキュリティ法規による規制の動向から、「何のために」、「いつまでに」、「誰が」、
  「どのような」取り組みが必要かを学ぶことができます。
・ISO/SAE 21434 におけるサイバーセキュリティマネジメントの概要を理解し、法規適用開始までに
   構築が必要な組織や、整備が必要な仕組み(受発注時の責任分担の合意や、市販品／OSS利用時の注意事項、
   各種ツールの管理方法など)を学ぶことができます。
・ISO/SAE 21434におけるサイバーセキュリティリスクアセスメントの考え方を理解し、製品に対して
   考えられる想定脅威と、それを防ぐためのセキュリティ対策の導出ができるようになります。
 ※UN-R155サイバーセキュリティ法規のAnnexに記載されている想定脅威／セキュリティ対策の一覧を
    題材とした「リスクアセスメントの具体事例」を紹介します。
・ISO/SAE 21434 における製品開発プロセス（設計／実装／評価）で実施すべき活動を理解し、
   自社の開発プロセスとのギャップを分析することができるようになります。
・ISO/SAE 21434 における開発後（製品製造／運用）フェーズで実施すべき活動を理解し、開発後フェーズに
  「適切なセキュリティ要求」を渡すことができるようになります。
・ISO/SAE 21434におけるSIRT(Security Incident Response Team)活動を理解し、製品の開発から
   運用フェーズまでを通じた脆弱性情報の管理方法を学ぶことができます。
   また、万が一インシデントが発生してしまった場合に実施すべきことも合わせて紹介します。

セミナープログラム

1.ISO/SAE 21434の必要性（利用する嬉しさ）とは？
　1-1.UN-R155サイバーセキュリティ法規の動向
　　1-1-1.自動車に対するハッキング事例
　　1-1-2.自動車業界のサイバーセキュリティ対策動向
　　1-1-3.サイバーセキュリティ法規の概要と適用計画
　　1-1-4.サイバーセキュリティ法規に不適合となった場合の影響
　1-2.UN-R155サイバーセキュリティ法規の概要
　　1-2-1.CSMS (Cyber Security Management System) 適合確認とは？
　　1-2-2.法規適合に向けて整備が必要なセキュリティプロセスの全体像
　　1-2-3.セキュリティリスクの特定とリスクが低減できたことの説明性
　　1-2-4.サプライチェーン全体に対するセキュリティプロセスの適用
　　1-2-5.車両の生産／運用フェーズにおけるSIRT活動の実施
　1-3.UN-R155サイバーセキュリティ法規とISO/SAE 21434の対応関係
　　1-3-1.ISO/SAE 21434の全体構成
　　1-3-2.UN-R155とISO/SAE 21434との対応関係
2.ISO/SAE 21434の全体概要
　2-1.サイバーセキュリティマネジメントの構築方法
　　2-1-1.サイバーセキュリティガバナンスの構築と監査
　　2-1-2.製品の開発計画とサイバーセキュリティアセスメント
　　2-1-3.CIA（Cybersecurity Interface Agreement）の締結
　　2-1-4.SIRT（Security Incident Response Team）の構築と運用
　2-2.サイバーセキュリティリスクアセスメントの考え方
　　2-2-1.脅威分析の準備（前提条件とアイテムの定義）
　　2-2-2.脅威分析の実施（トップダウンアプローチとボトムアップアプローチ）
　　2-2-3.リスクアセスメントの方法（攻撃の影響度／攻撃可能性の評価）
　　2-2-4.リスクへの対処方法（リスクの低減／共有／保持／回避）
　　2-2-5.サイバーセキュリティゴール／サイバーセキュリティクレームの定義
　2-3.製品開発プロセス（設計／実装／評価）の概要
　　2-3-1.サイバーセキュリティ要求を実現するための対策技術
　　2-3-2.システムアーキテクチャ設計に対する脆弱性分析
　　2-3-3.HW／SWアーキテクチャ設計に対する脆弱性分析
　　2-3-4.脆弱性分析で特定した脆弱性へのセキュリティ対策の追加
　　2-3-5.サイバーセキュリティ対策の評価（機能評価／脆弱性評価）
　2-4.製品開発からSIRT活動を通じた脆弱性の管理方法
　　2-4-1.脆弱性分析／脆弱性評価で特定した脆弱性情報の管理（収集）
　　2-4-2.特定した脆弱性情報の設計／評価工程へフィードバック
　　2-4-3.特定した脆弱性情報のSIRT活動へのフィードフォワード
　　2-4-4.SIRT活動で特定した脆弱性のリスクアセスメント方法
3. 脅威分析／脆弱性分析およびリスクアセスメント事例の解説
　3-1.UN-R155 サイバーセキュリティ法規 Annex.5 の解説
　　3-1-1.UN-R155 サイバーセキュリティ法規における想定脅威（Annex.5 Table-A）
　　3-1-2.想定脅威を防ぐためのサイバーセキュリティ対策（Annex.5 Table-B, C）
　3-2.脅威分析／脆弱性分析事例の解説
　　3-2-1.コンセプトフェーズにおける脅威分析（Attack Tree Analysis）の実施事例
　　3-2-2.製品開発フェーズにおける脆弱性分析（STRIDE）の実施事例
　3-3.コンセプトフェーズにおけるリスクアセスメント事例
　　3-3-1.サイバーセキュリティリスクアセスメントの目的（コンセプトフェーズ）
　　3-3-2.脅威分析結果に対するリスクアセスメントの事例
　　3-3-3.脅威シナリオを防ぐためのセキュリティ対策の事例
　3-4.製品開発フェーズにおけるリスクアセスメント事例
　　3-4-1.サイバーセキュリティリスクアセスメントの目的（製品開発フェーズ）
　　3-4-2.脆弱性分析結果に対するリスクアセスメントの事例
　　3-4-3.特定した脆弱性を塞ぐためのセキュリティ対策の事例
＜質疑応答＞

セミナー講師

 杉山 歩 先生   （株）ヴィッツ 先進CPS技術開発部 部長代理 　

セミナー受講料

【オンラインセミナー（見逃し視聴なし）】：1名47,300円(税込（消費税10％）、資料付)
＊1社2名以上同時申込の場合、1名につき36,300円

【オンラインセミナー（見逃し視聴あり）】：1名52,800円(税込（消費税10％）、資料付)
＊1社2名以上同時申込の場合、1名につき41,800円

＊学校法人割引；学生、教員のご参加は受講料50％割引。

受講について

※本講座は、お手許のPCやタブレット等で受講できるオンラインセミナーです。

配布資料・講師への質問等について

• 配布資料はPDF等のデータで送付予定です。受取方法はメールでご案内致します。
  （開催1週前～前日までには送付致します）。
  ※準備の都合上、開催1営業日前の12:00までにお申し込みをお願い致します。
  （土、日、祝日は営業日としてカウント致しません。）
• 当日、可能な範囲で質疑応答も対応致します。
  （全ての質問にお答えできない可能性もございますので、予めご容赦ください。）
• 本講座で使用する資料や配信動画は著作物であり、
  無断での録音・録画・複写・転載・配布・上映・販売等を禁止致します。

下記ご確認の上、お申込み下さい

• PCもしくはタブレット・スマートフォンとネットワーク環境をご準備下さい。
• ご受講にあたり、環境の確認をお願いしております（20Mbps以上の回線をご用意下さい）。
  各ご利用ツール別の動作確認の上、お申し込み下さい。
• 開催が近くなりましたら、当日の流れ及び視聴用のURL等をメールにてご連絡致します。

Zoomを使用したオンラインセミナーとなります

• ご受講にあたり、環境の確認をお願いしております。
  お手数ですが下記公式サイトからZoomが問題なく使えるかどうか、ご確認下さい。
  → 確認はこちら
  ※Skype／Teams／LINEなど別のミーティングアプリが起動していると、Zoomでカメラ・マイクが使えない事があります。お手数ですがこれらのツールはいったん閉じてお試し下さい。
• Zoomアプリのインストール、Zoomへのサインアップをせずブラウザからの参加も可能です。
  ※一部のブラウザは音声（音声参加ができない）が聞こえない場合があります。
  　必ずテストサイトからチェック下さい。
  　対応ブラウザーについて(公式) ;
  　「コンピューターのオーディオに参加」に対応してないものは音声が聞こえません。

申込み時に（見逃し視聴有り）を選択された方は、見逃し視聴が可能です

• 開催5営業日以内に録画動画の配信を行います（一部、編集加工します）。
• 視聴可能期間は配信開始から1週間です。
  セミナーを復習したい方、当日の受講が難しい方、期間内であれば動画を何度も視聴できます。
  尚、閲覧用のURLはメールにてご連絡致します。
  ※万一、見逃し視聴の提供ができなくなった場合、
  （見逃し視聴有り）の方の受講料は（見逃し視聴無し）の受講料に準じますので、ご了承下さい。
  →こちらから問題なく視聴できるかご確認下さい（テスト視聴動画へ）パスワード「123456」