必要条件 1. 開発者以外の第三者がテストケースを実行すること 2. 再起的なプロセスでテストを進行すること 十分条件 3. 発見された脆弱性を管理すること

第一法則：サイバーセキュリティ対策＝サイバーセキュリティ管理策＋脆弱性緩和策 第二法則：サイバーセキュリティ会社の有するテクニカルスキルとサラリーマンスキルは反比例する。 第三法則：TOEの必要数＝テストに必要な期間÷テストに必要な総工数

答えは不要です。ただし例外として、評価者の名前を後で公表したい場合に限って、再テストも同じ人にさせてください。

ISO21434は、ISO27000/31000と、ISO26262の２つのISO文書から影響を受けています。 このため、いきなり21434を読むのではなく、先に２つの文書を理解しておくことで、なぜISO21434がこのような内容になっているかの一端が掴めるようです。 この2系統の文章は…

とりあえずこんなのが思いつきます。 サイバーセキュリティのポリシーを適用する対象をしぼる（プライバシーや盗難セキュリティのミッションを除外する）。 アイテムをしぼって定義する。 制約条件をいっぱいつくる。 前提条件をいっぱいつくる。 資産をしぼ…

サイバーセキュリティのテストにおいて、便利な関数を紹介します。ハッカーのスキルは、次のグラフによっておおよそ表すことができます。 個人の有する"ハッキングスキル"と"社会人スキル"は、反比例の関係にあります。これはムーアの法則とおなじように、あ…

サイバーセキュリティ対策は、つぎの2種類に分類できます。 サイバーセキュリティ管理策（cybersecurity control） 脆弱性緩和策（vulnerability mitigation） When コンセプトフェーズ 製品開発フェーズ Who OEMのサイバーセキュリティ主管 ECU開発者 Why S…

脅威分析は、おおよそ次のような順番ですすめます。 資産とそのサイバーセキュリティ特性 ダメージシナリオとその影響度 脅威シナリオ 攻撃経路とその攻撃可能性 リスクをもとに対応要否判断 サイバーセキュリティゴール サイバーセキュリティ要求／サイバー…

車両の開発では、リスクアセスメントを次の２つに分けて考えることが多い。 脅威分析 脆弱性分析 When コンセントフェーズ いつでもよい Where - - Who OEMのサイバーセキュリティ主管部署 だれでもよい（主にECUサプライヤ） What 車両全体のSFOPに係る資産…

自動車のサイバーセキュリティの国際標準である、ISO/SAE 21434の最新ドラフトが公開されました。 www.iso.org ただし、有償です。 ISOをつかう側の立場から、何をすればよいのかを考察していきます。