なぜ自動車にセキュリティテストが必要なのか?
ここ数年、自動車におけるサイバーセキュリティ関連の話題の中でUNECE* WP.29というワードを耳にする機会が増えたかと思います。UNECE WP.29は自動車の安全基準や環境基準の国際的調和を目的に設立された自動車基準調和世界フォーラムとなり、世界各国の交通環境に応じて国ごとに基準や認証方法が定められていた自動車の安全基準や環境基準を国際的に調和させ、基準作成や審査作業の効率化、安全で環境性能の高い自動車の普及などを推進することを目的に設立された、国際連合欧州経済委員会の下部組織となります。
*United Nations Economic Commission for Europe(国際連合欧州経済委員会)
そのUNECE WP.29にはセキュリティテストに関して、”OEMと認証機関(または技術サービス)の両方がセキュリティテスト実施する必要がある” と記述されており、OEMは同要件をTier-1へ要求することとなります。
また、UNECE WP.29(5.1.2)では車載サイバーセキュリティに関する2つのレギュレーション、UN-R155とUN-R156が合意され、車両型式認証を取得する際の追加要件を規定しており、UN-R155では車載サイバーセキュリティ及びその管理システムに関する要件を、UN-R156ではソフトウェアアップデートおよびその管理システムに関する要件を扱っており、UNR155(7.2.2.2および7.3.6)、ISO21434(10.4.2)に、具体的なテスト手法とテスト例(侵入テスト、脆弱性スキャン、ファジングなど)が記述され、侵入テストはISO21434で特定のSHOULD要件[RC-11-01]として言及されています。
以上の要点をまとめると、OEM、Tier-1、認証機関(または技術サービス)はセキュリティテストが必要となり、セキュリティテスト戦略はCSMS*の一部として定義され、組織への実装が必要となります。ETAS社では、自動車ライフサイクル全体を対象とし、セキュリティテストのトータルサービスの提案が可能です。
*Cyber Security Management System
Wp.29 UN-R115/UN-R156について更に詳しく説明をしているページも是非ご覧ください。
ETAS社のセキュリティテストサービスの強み
- 15年以上の自動車業界での侵入テスト実績
- 2020/2021 DEFCON CTFにて世界2位を獲得
- 車両全体、各ECU、生産設備、診断機などを対象としたセキュリティテスト
- 無線アクセス(Wi-Fi, Bluetooth, GSMなど)、テレマティクス通信(TLS1.xなど)、CAN/CAN-FDアクセス、ECU FW、OBDII 診断ポートアクセスなどの検査項目
サービス内容
セキュリティコンサルティング
- セキュリティテストの個別コンサルティング(例 : テスト手法、 ツール、専門知識など)
- 既存製品へのセキュリティテストの統合開発プロセス
- テスト手法とツールの推奨
- セキュリティ テスト結果の解釈
- 内部セキュリティ テストの戦略、プロセス、標準、および要件
- 技術的なセキュリティ テストのガイドライン
- セキュリティテストのコンセプトと仕様の作成
セキュリティテスト
- 侵入テスト / ペネトレーションテスト
- 脆弱性スキャン
- コード解析
- ハードウェア / サイドチャネル攻撃
- ファジング
- 機能セキュリティテスト
お問い合わせ
ETASメーカー情報TOPへ
ETAS メーカー情報Topに戻りたい方は以下をクリックしてください。