www.mlit.go.jp 自動車局では、自動車の安全基準等について、国際的な整合を図りつつ、順次、拡充・強化を進めています。 今般、「高速道路等における運行時に車両を車線内に保持する機能を有する自動運行装置に係る協定規則（第157号）、「サイバーセキュリ…

www.aba-j.or.jp 日本自動車工業会（自工会、豊田章男会長）は、２０２１年４月にサイバー攻撃対策を手がける新組織を発足する。会員企業間の情報共有を促す体制を整備し、コネクテッドカーの普及や自動運転の実現などを背景にリスクが高まるサイバー攻撃へ…

www.nikkei.com 製品安全の認証機関である米ULの日本法人は自動車のサイバー攻撃対策の支援サービスを強化する。技術者への講習や、製造現場が国際規格に適合しているかの試験を実施する。通信機能を備えた「コネクテッドカー（つながる車）」と呼ばれる次世…

www.nri-secure.co.jp 2015年、北米である車両が脆弱性を突かれ、遠隔からのサイバー攻撃を受けるという実証実験に晒されて大規模なリコールに至ったことをきっかけに、自動車に対するセキュリティに注目が集まりました。それから毎年のように、自動車の電子…

https://biz3.co.jp/publictraining_category/cybersecurity?gclid=Cj0KCQiA7qP9BRCLARIsABDaZzietmgQ2fgaV87cm5nIQvXzbryyj3G8ic5QMz5NovOObakbBbBRgf8aAvfMEALw_wcB

gigazine.net アメリカ・マサチューセッツ州で2020年11月3日に、消費者が自分の自動車を自分で修理する権利を規定した「2020年マサチューセッツ州修理権イニシアチブ」、通称「修理権法」の成否を問う住民投票が実施され、賛成が有効票の74.9％を占める賛成…

脆弱性マネジメントについて、「脆弱性データベースの作成」であると解釈することがある。まったくの間違いではないが、誤解につながる恐れがある。 脆弱性マネジメントの本来の目的は、「製品に残留している脆弱性を記録して、将来的に遡及できるようにする…

Zoomを使ったWeb配信セミナー自動車サイバーセキュリティー規格“ISO/SAE 21434”の徹底解説WP29セキュリティー法規に適合するためのCSMS構築事例を具体的に紹介 https://www.nikkeibp.co.jp/seminar/atcl/nxt/nat201030/

近年、車がネットワークにつながることで利便性が向上してきましたが、同時にサイバー攻撃の脅威にさらされるようにもなりました。そこで車のサイバーセキュリティに関する議論が活発となる中、国連では自動車関連の規格を扱う "World Forum for the harmoni…

クルマへのサイバー攻撃で「電池」が標的になる可能性をドイツInfineon Technologies（インフィニオンテクノロジーズ）が指摘した。ハイブリッド車（HEV）やプラグインハイブリッド車（PHEV）、電気自動車（EV）などが搭載するリチウムイオン電池のBMS（電池…

www.netdenjd.com 自動車技術総合機構（柳川久治理事長）は、自動運転車におけるサイバーセキュリティー対策の審査体制の強化に乗り出す。型式認証などを手がけている交通安全環境研究所（平井隆志所長）内で７月、「情報セキュリティ審査センター」が稼働。…

jvndb.jvn.jpwww.lac.co.jp

https://unece.org/fileadmin/DAM/trans/doc/2020/wp29grva/ECE-TRANS-WP29-2020-079-Revised.pdfunece.orgargus-sec.com

自動車に対するハッキング事例の増加に伴い、UNECE WP29では自動車のサイバーセキュリティ法規の策定が進んでいます。この法律が施行されると、CSMS（Cyber Security Management Process）の構築＆適用ができていない車両の販売ができなくなる恐れがあります…

「ISO 21434」の衝撃、クルマに迫るサイバー攻撃対策 | 日経クロステック（xTECH）はてなブックマーク- 「ISO 21434」の衝撃、クルマに迫るサイバー攻撃対策 | 日経クロステック（xTECH）

https://webmagazine.dnv.co.jp/cybersecurity_sem_y2020.htmlwebmagazine.dnv.co.jp 現在、国連のWP29サイバーセキュリティタスクフォースにおいて、 車両のライフサイクル全体にわたり、サイバーセキュリティを確保する ための要件などを含めた2つの国際基…

https://www.escrypt.com/ja/news-events/unece-wp29_iso-sae-21434

お客様が車両を捨てるときのことを指すようです。 英語に馴染みのないわたしは、いっそwasteとかdiscardといってくれればよいのにと思います。

必要条件 1. 開発者以外の第三者がテストケースを実行すること 2. 再起的なプロセスでテストを進行すること 十分条件 3. 発見された脆弱性を管理すること

第一法則：サイバーセキュリティ対策＝サイバーセキュリティ管理策＋脆弱性緩和策 第二法則：サイバーセキュリティ会社の有するテクニカルスキルとサラリーマンスキルは反比例する。 第三法則：TOEの必要数＝テストに必要な期間÷テストに必要な総工数

答えは不要です。ただし例外として、評価者の名前を後で公表したい場合に限って、再テストも同じ人にさせてください。

ISO21434は、ISO27000/31000と、ISO26262の２つのISO文書から影響を受けています。 このため、いきなり21434を読むのではなく、先に２つの文書を理解しておくことで、なぜISO21434がこのような内容になっているかの一端が掴めるようです。 この2系統の文章は…

とりあえずこんなのが思いつきます。 サイバーセキュリティのポリシーを適用する対象をしぼる（プライバシーや盗難セキュリティのミッションを除外する）。 アイテムをしぼって定義する。 制約条件をいっぱいつくる。 前提条件をいっぱいつくる。 資産をしぼ…

サイバーセキュリティのテストにおいて、便利な関数を紹介します。ハッカーのスキルは、次のグラフによっておおよそ表すことができます。 個人の有する"ハッキングスキル"と"社会人スキル"は、反比例の関係にあります。これはムーアの法則とおなじように、あ…

サイバーセキュリティ対策は、つぎの2種類に分類できます。 サイバーセキュリティ管理策（cybersecurity control） 脆弱性緩和策（vulnerability mitigation） When コンセプトフェーズ 製品開発フェーズ Who OEMのサイバーセキュリティ主管 ECU開発者 Why S…

脅威分析は、おおよそ次のような順番ですすめます。 資産とそのサイバーセキュリティ特性 ダメージシナリオとその影響度 脅威シナリオ 攻撃経路とその攻撃可能性 リスクをもとに対応要否判断 サイバーセキュリティゴール サイバーセキュリティ要求／サイバー…

車両の開発では、リスクアセスメントを次の２つに分けて考えることが多い。 脅威分析 脆弱性分析 When コンセントフェーズ いつでもよい Where - - Who OEMのサイバーセキュリティ主管部署 だれでもよい（主にECUサプライヤ） What 車両全体のSFOPに係る資産…

自動車のサイバーセキュリティの国際標準である、ISO/SAE 21434の最新ドラフトが公開されました。 www.iso.org ただし、有償です。 ISOをつかう側の立場から、何をすればよいのかを考察していきます。