車載サイバーセキュリティの動向と要求事項を実現するための対策・設計【LIVE配信・WEBセミナー】

セミナー趣旨

2021年1月に自動車のサイバーセキュリティ法規“UN-R155”が発行されました。日本では、この法規が道路運送車両法に取り込まれ、自動車のサイバーセキュリティ対策が保安基準の１つとして定められました。それによって、今後発売される車両にはサイバーセキュリティ対策を施すことが義務化されています。

　UN-R155サイバーセキュリティ法規を満たすためには、自動車サイバーセキュリティ規格“ISO/SAE 21434”への準拠が必要です。そのため、車両および車載部品のサイバーセキュリティ対策を進めるためには、UN-R155とISO/SAE 21434の内容を“なんとなく”でなく、正しく理解しておくことが非常に重要になってきます。

　本セミナーでは、まず自動車に対するハッキング事例を通じて自動車に迫る脅威を認識した後に、UN-R155法規の策定背景と具体的な要求事項を解説します。

　その後、受講者の方にISO/SAE 21434の全体概要を掴んで頂くために

　　[1]サイバーセキュリティマネジメント（組織＆仕組み）の構築方法

　　[2]サイバーセキュリティリスクアセスメントの考え方

　　[3]製品開発プロセス（設計／実装／評価）の概要

　　[4]製品開発からSIRT活動を通じた脆弱性の管理方法

　について解説を行います。

　また、本講座では、ISO/SAE 21434の中でも、脅威分析／脆弱性分析等、特に理解が難しいサイバーセキュリティリスクアセスメントの内容を、脅威分析からセキュリティ対策導出までの流れに沿って、独自の解釈／解説と具体事例をふまえ詳しく解説します。なお、本講座は現役の組込みエンジニアが講師を行います。規格や仕様に関する知識だけでなく実際の開発体験を交えて、自動車向けのセキュリティ対策に 必要なノウハウを1日で分かりやすくお伝えします。

 
【講演のポイント】

　UN-155が施行されてから5年が経過し、新型車向けのサイバーセキュリティ対策は一通り完了していると思います。弊社でも、OEM／サプライヤ各社様向けに、脅威分析や脆弱性分析をはじめとした様々なサイバーセキュリティ対策支援を実施してきました。本講演では、そこで得られた知見や積んだ実績を踏まえて、サイバーセキュリティ対策の導入のポイントを具体的に紹介させて頂きます。

習得できる知識

①UN-R155サイバーセキュリティ法規による規制の内容／動向
②ISO/SAE 21434におけるサイバーセキュリティマネジメントの概要（組織／仕組み）
③ISO/SAE 21434における脅威分析とリスクアセスメントの考え方
④ISO/SAE 21434 における製品開発プロセス（設計／実装／評価）
⑤ISO/SAE 21434における開発後（製品製造／運用）フェーズで実施すべき活動
⑥ISO/SAE 21434におけるP-SIRT（Product - Security Incident Response Team）活動

セミナープログラム

【講演のキーワード】

　UN-R155、ISO/SAE 21434、CSMS、サイバーセキュリティ、脅威分析、脆弱性分析、リスクアセスメント、P-SIRT

【プログラム】

∽∽────────────────────────────∽∽
1. ISO/SAE 21434の必要性（利用する嬉しさ）とは？
∽∽────────────────────────────∽∽
　1-1. UN-R155サイバーセキュリティ法規の動向

　　1-1-1. 自動車に対するハッキング事例

　　1-1-2. 自動車業界のサイバーセキュリティ対策動向

　　1-1-3. サイバーセキュリティ法規の概要と適用計画

　　1-1-4. サイバーセキュリティ法規に不適合となった場合の影響

　1-2.UN-R155サイバーセキュリティ法規の概要

　　1-2-1. CSMS (Cyber Security Management System) 適合確認とは？

　　1-2-2. 法規適合に向けて整備が必要なセキュリティプロセスの全体像

　　1-2-3. セキュリティリスクの特定とリスクが低減できたことの説明性

　　1-2-4. サプライチェーン全体に対するセキュリティプロセスの適用

　　1-2-5. 車両の生産／運用フェーズにおけるSIRT活動の実施

　1-3.UN-R155サイバーセキュリティ法規とISO/SAE 21434の対応関係

　　1-3-1. ISO/SAE 21434の全体構成

　　1-3-2. UN-R155とISO/SAE 21434との対応関係

∽∽────────────────────────────∽∽
2. ISO/SAE 21434の全体概要
∽∽────────────────────────────∽∽
　2-1.サイバーセキュリティマネジメントの構築方法

　　2-1-1. サイバーセキュリティガバナンスの構築と監査

　　2-1-2. 製品の開発計画とサイバーセキュリティアセスメント

　　2-1-3. CIA（Cybersecurity Interface Agreement）の締結

　　2-1-4. SIRT（Security Incident Response Team）の構築と運用

　2-2.サイバーセキュリティリスクアセスメントの考え方

　　2-2-1. 脅威分析の準備（前提条件とアイテムの定義）

　　2-2-2. 脅威分析の実施（トップダウンアプローチとボトムアップアプローチ）

　　2-2-3. リスクアセスメントの方法（攻撃の影響度／攻撃可能性の評価）

　　2-2-4. リスクへの対処方法（リスクの低減／共有／保持／回避）

　　2-2-5. サイバーセキュリティゴール／サイバーセキュリティクレームの定義

　2-3.製品開発プロセス（設計／実装／評価）の概要

　　2-3-1. サイバーセキュリティ要求を実現するための対策技術

　　2-3-2. システムアーキテクチャ設計に対する脆弱性分析

　　2-3-3. HW／SWアーキテクチャ設計に対する脆弱性分析

　　2-3-4. 脆弱性分析で特定した脆弱性へのセキュリティ対策の追加

　　2-3-5. サイバーセキュリティ対策の評価（機能評価／脆弱性評価）

　2-4.製品開発からSIRT活動を通じた脆弱性の管理方法

　　2-4-1. 脆弱性分析／脆弱性評価で特定した脆弱性情報の管理（収集）

　　2-4-2. 特定した脆弱性情報の設計／評価工程へフィードバック

　　2-4-3. 特定した脆弱性情報のSIRT活動へのフィードフォワード

　　2-4-4. SIRT活動で特定した脆弱性のリスクアセスメント方法

∽∽────────────────────────────∽∽
3. 脅威分析／脆弱性分析およびリスクアセスメント事例の解説
∽∽────────────────────────────∽∽
　3-1.UN-R155 サイバーセキュリティ法規 Annex.5 の解説

　　3-1-1. UN-R155 サイバーセキュリティ法規における想定脅威（Annex.5 Table-A）

　　3-1-2. 想定脅威を防ぐためのサイバーセキュリティ対策（Annex.5 Table-B, C）

　3-2.脅威分析／脆弱性分析事例の解説

　　3-2-1. コンセプトフェーズにおける脅威分析（Attack Tree Analysis）の実施事例

　　3-2-2. 製品開発フェーズにおける脆弱性分析（STRIDE）の実施事例

　3-3.コンセプトフェーズにおけるリスクアセスメント事例

　　3-3-1. サイバーセキュリティリスクアセスメントの目的（コンセプトフェーズ）

　　3-3-2. 脅威分析結果に対するリスクアセスメントの事例

　　3-3-3. 脅威シナリオを防ぐためのセキュリティ対策の事例

　3-4.製品開発フェーズにおけるリスクアセスメント事例

　　3-4-1. サイバーセキュリティリスクアセスメントの目的（製品開発フェーズ）

　　3-4-2. 脆弱性分析結果に対するリスクアセスメントの事例

　　3-4-3. 特定した脆弱性を塞ぐためのセキュリティ対策の事例

【質疑応答】

※受講料の振り込みは、開催翌月の月末までで問題ありません
※講演日にご参加が難しい場合は、録画視聴をご案内しますのでご相談ください

セミナー講師

株式会社アトリエ　 サイバーセキュリティアシュアランス事業部　事業部長　 杉山　歩　氏

セミナー受講料

●1名様　　：49,500円（税込、資料作成費用を含む）
●2名様以上：16,500円（お一人につき）
　※受講料の振り込みは、開催翌月の月末までで問題ありません

主催者

開催場所