WP29 CSMSに基づくセキュアな製品開発の実践―自動車に特化した脅威マトリクスとしての活用に期待が寄せられるAutomotive Threat Matrix
脅威分析やリスク評価、セキュリティテストなどさまざまな用途での活用が期待できる「Automotive Threat Matrix」について、その特徴や「MITRE ATT&CK」との違い、活用イメージについて紹介します。
WP29 CSMSに基づくセキュアな製品開発の実践―攻撃パス分析の実践とそのポイント
WP29 CSMS(※1)に対応する製品開発実践のポイントを紹介する連載「WP29 CSMSに基づくセキュアな製品開発実践」。前回は資産の識別に焦点を当て、その具体的な手順を解説しました。今回は次のステップとなる攻撃シナリオに注目し、具体的な攻撃パス分析の手順を解説します。
※1 CSMS(Cyber Security Management System):サイバーセキュリティに関連するリスクを処理し、自動車をサイバー攻撃から保護するための組織的なプロセス、責任及び管理を明確化したリスクベースアプローチの管理システム。
攻撃パス分析の手順
攻撃パス分析のプロセスは、以下の3つに大別できます。
- 脅威を実現する攻撃シナリオの定義:攻撃手法の組み合わせを検討する
- 攻撃シナリオを実現する攻撃パスの検討:攻撃ツリーとして説明可能なエビデンスを作成する
- セキュリティ要求の定義:攻撃によって発生する損害を低減させるための対策方法を検討する
攻撃パス分析は脅威シナリオを実現するための攻撃シナリオを定義し、攻撃ツリーとして説明可能なエビデンスを作成する
攻撃パス分析は、実際の攻撃事例や脆弱性を理解した上で実施する必要があります。以下に3つのプロセスについて詳しく説明します。
攻撃シナリオの定義
攻撃シナリオの定義は、「どのような手法の攻撃が発生しうるか」を分析者が想定することからスタートします。ただし、これをゼロベースから想定するのは難しいでしょう。攻撃シナリオ定義の網羅性を担保するために、フレームワークの利用を推奨します。例えば、「5W」や「STRIDE」などが挙げられます。
例えば、下の図を見てください。これは車載機に保存されたクレジットカード情報(情報資産)に対し、5Wで想定した攻撃シナリオの例です。
このようにフレームワークを利用することで、考えるべき要素を漏らすことなく、可能な攻撃シナリオを列挙することができます。しかし、ほとんどの場合は膨大なパターン数になるため、事前に分析対象を絞る、分類するといった工夫が必要になります。分析対象を絞る、分類するための工夫については、前回の記事をご参照ください。
攻撃パスの検討
次に、洗い出した攻撃シナリオを実現させるための攻撃段階を樹形図のように細分化する「攻撃ツリー」を作成し、それに対して攻撃を成立させる攻撃条件を整理します。つまり、「どのような攻撃条件を組み合わせることで攻撃シナリオを成功させるか」を分析者が想定する作業になります。そのためには、過去の攻撃事例や研究成果を集約し、そこで用いられている攻撃手法を知識として蓄積していく必要があります。
攻撃パス分析が属人化し、抜け漏れが発生するのを防ぐ方法の1つとして挙げられるのが、一般的なフレームワークを参照しながら検証する方法です。参考になるフレームワークは、ITの領域でもよく使われている「STRIDE」や「MITRE ATT&CK」などが考えられます。
分析・収集した情報を元に攻撃パス分析を行う。同時に検討の抜け漏れを防ぐために一般的なフレームワークと照らし合わせて検証も実施する。
もちろん、フレームワークのみで攻撃パスを導出するのは容易ではありません。しかし、分析した結果を当て込むことで、抜け漏れがないかチェックするには役立ちます。
セキュリティ要求の定義
攻撃パスの検討段階でリストアップした攻撃条件に対して、リスクを低減させるためのセキュリティ要求を検討します。
セキュリティ要求を検討した後に、業界で定めたセキュリティ要件や法規制の要求に適合しているか確認し、必要な対策が漏れていないかどうかを再度確認します。対策が漏れていた場合に重要なのは、その原因を分析することです。攻撃シナリオや攻撃条件などの想定に漏れがあったのかどうかを再度確認し、必要に応じて攻撃パスの分析プロセスを修正します。
効率的な攻撃シナリオ分析のポイント
抜け漏れのないセキュリティ対策を講じるためには、全ての保護資産に対して考えられる全ての脅威パターンを導出し、脅威パターンに対する攻撃パスを全て検討するという網羅的なアプローチが必要です。しかし、これを実現するために各ステップでの組み合わせを考えていくと、そのパターン数は指数関数的に膨らみ、全ての組み合わせを検証することは実質的に不可能です。そこで、効率的に分析を行うためのポイントについて解説します。
- 攻撃パスのカタログ化
こうした事態を回避するには脅威パターンや攻撃パスを類型化し、各ステップで現実的に攻撃が可能な組み合わせを絞り込むことが重要です。例えば、「理論上は攻撃できるが、現在の技術では攻撃が成立しない」「攻撃の前提条件が非常に厳しく、現実的ではない」というケースは省略します。また、攻撃パス分析の過程で同じような機能が詳らかになった場合には、攻撃車両をまとめるといった対策も考えられます - セキュリティ要求の整理と逆引き
網羅的なセキュリティ要求を導出するために全ての組み合わせを検証する必要があることから、攻撃パスの検証件数は非常に大きくなってしまう傾向があります。一方で1つのセキュリティ要求で多くの攻撃が防げることから、セキュリティ要求の数は攻撃パスの検証件数に比べてそこまで多くなく、定型的なセキュリティ対策に落ち着くことも多いのが実情です。そのため、よく使われるセキュリティ要求を整理しておき、抜け漏れがないかをセキュリティ要求から逆引きで確認するという手法も有効です。 - 知見を蓄積・共有する
分析担当部門は、攻撃シナリオに関する情報を継続的に収集して共有し、組織全体のスキルアップを図るように努める必要があります。知識の蓄積を分析者個人の技量に頼ってしまうと、全ての分析者が高度な知識を身に付ける必要に迫られる上、担当者の知識量によって攻撃シナリオの解読にも差が生じてしまうからです。
それを避けるため、カタログ化された攻撃手法を集約し、共有しながら会社全体で分析スキルを継続的にアップデートする必要があります。会社として製品のセキュリティレベルを担保するには、全社レベルでの知識の共通化が大きなポイントになります。
WP29対応への素朴な質問
【質問】
攻撃可能性の評価について教えてください。組み合わせの数の劇的な増加を防ぎ、効率的に評価するためには、攻撃パターンをどのように見分ければよいでしょうか。
【回答】
1つ挙げられるのが、共通脆弱性評価システム(Common Vulnerability Scoring System:以下、CVSS)の利用です。CVSSは「攻撃が実際に起こり得る/起こり得ない」を判断する基準として、ITの世界でもよく利用されています。
ただし、CVSSの中にもさまざまな項目があります。例えば、「実際に攻撃を実行するツールが存在しているか」「リモートで任意のコマンドを実行できるのか」といったような評価項目が含まれています。こうした項目が車載機に対する攻撃に適用できるかどうかは判断が分かれます。そのため、CVSSの中で必要な項目を選択し、評価軸としていく必要があります。いずれにしても、攻撃可能性を効率的に評価する指標も、会社組織として整備していくことが重要でしょう。
WP29 CSMS対応ツール活用メリットを2分で解説
自動車に関する国際法規であるWP29 UNR155に適合するため、車両OEMとサプライヤーは、適切なサイバーセキュリティ要件を導出し、それを満たす製品を開発することが求められています。PwCが提供する「WP29 Cyber Security Management System(CSMS)支援プラットフォーム」は、セキュアな製品開発において最も重要である脅威分析を効率的に実施するためのウェブツールであり、脅威や攻撃に関する最新の情報を提供します。
1:57
Video Player is loading.
車両サイバーセキュリティの未来
車両のデジタル革命によって、次世代のモビリティ社会が形作られる一方で、各国の政策や規制により変化の速度が決定されている面があります。その要因の一つがサイバーセキュリティへの懸念です。
車両サイバーセキュリティに関する国際規格や製品ライフサイクルにおける重要論点の解説やクライアントとの対談を通じ、車両サイバーセキュリティの将来をひもときます。
執筆者
山田 素久
ディレクター, PwCコンサルティング合同会社
【インサイト】WP29 CSMSに基づくセキュアな製品開発の実践
6 results
Loading...
WP29 CSMSに基づくセキュアな製品開発の実践―車載機器に対するファジングテストで押さえておきたいポイント
WP29 CSMSに対応する製品開発実践のポイントを紹介する連載「WP29 CSMSに基づくセキュアな製品開発の実践」。第5回はソフトウェアに潜む既知もしくは未知の脆弱性を検出するため、仕様外の動作を検出する「ファジング」について紹介します。
WP29 CSMSに基づくセキュアな製品開発の実践―脆弱性テスト/ペネトレーションテストの実践とポイント
WP29 CSMSに対応する製品開発実践のポイントを紹介する連載「WP29 CSMSに基づくセキュアな製品開発の実践」。第4回は開発の最後に実施する「脆弱性テスト」と「ペネトレーションテスト」に焦点を当てます。
WP29 CSMSに基づくセキュアな製品開発の実践―攻撃パス分析の実践とそのポイント
WP29 CSMSに対応する製品開発実践のポイントを紹介する連載「WP29 CSMSに基づくセキュアな製品開発の実践」。今回は次のステップとなる攻撃シナリオに注目し、具体的な攻撃パス分析の手順を解説します。
Loading...
【インサイト】WP29への対応~自動運転車のサイバーセキュリティ
7 results
Loading...
TISAXの対象範囲の広がり―TISAX VCS 車両サイバーセキュリティ
自動車のデジタル化やサプライチェーンの複雑化などにより、自動車産業のサプライチェーン全体でサイバーセキュリティに対する要求が高まっています。今後リリースされる予定のTISAX VCSについて、確認項目の概要やISO/SAE 21434の要件との関連性について解説します。
WP29 CSMSに基づくセキュアな製品開発の実践―自動車に特化した脅威マトリクスとしての活用に期待が寄せられるAutomotive Threat Matrix
脅威分析やリスク評価、セキュリティテストなどさまざまな用途での活用が期待できる「Automotive Threat Matrix」について、その特徴や「MITRE ATT&CK」との違い、活用イメージについて紹介します。
WP29への対応―Automotive SPICE® for Cybersecurityの適用について
発行間近のAutomotive SPICE® for Cybersecurityの内容や、活用のポイントなどについて解説します。
WP29 サイバーセキュリティ法規―CSMS対応の実態調査
PwCコンサルティング合同会社は、WP29 サイバーセキュリティ法規に基づくCSMS(Cyber Security Management System)への現在の対応状況について調査を実施しました。本稿では、その結果について解説します。
Loading...
インサイト/ニュース
20 results
Loading...
Download PDF -
IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
Download PDF -
ISMAP管理策評価の自動化に向けた洞察―NIST IR 8011 v1r1ドラフトを踏まえて
NISTが公表した「NIST IR 8011 v1r1 (Automation Support for Security Control Assessments)」ドラフトを解説するとともに、ISMAPにおける外部評価の一部自動化と、リアルタイム評価・継続的モニタリングを組み合わせたハイブリッド評価の可能性について考察します。
Download PDF -
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応【第4回】ガイドライン及びQ&Aの公表
2025年5月2日付で公表された「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」、「重要経済安保情報保護活用法の運用に関するガイドライン(行政機関編)」及び「適正評価に関するQ&A」の概要を解説します。
Download PDF -
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
Loading...
