ISO/SAE 21434がEDAおよびIPベンダに与える影響

米国シノプシス 

オートモーティブ・グループ
オートモーティブ・ソフトウェア&セキュリティ担当シニア・マネージャー Chris Clark 

DesignWareセキュリティIP、シニア・プロダクト・マーケティング・マネージャー Dana Neustadter


あなたは今、自動車を運転しています。衝突回避、暗くて見通しの悪い道でのライト点灯、車線逸脱防止などはすべて自動化されています。ところが突然、車両が急加速して路肩に突っ込んでしまいました。ハッキングされたのでしょうか。

 

これはまったくの作り話ではありません。数年前、2人のハッキング・エンジニアがJeep Cherokeeに対して同じような内容の実験をしたことがあります。言うまでもなく、セキュリティに問題のあるクルマは真に安全とは言えません。自動車業界では、機能安全とサイバーセキュリティには密接な関係があります。近くリリースが予定されている「ISO/SAE FDIS 21434 Road Vehicles – Cybersecurity Engineering(路上走行車 – サイバーセキュリティ技術)」も、機能安全規格ISO 26262を基盤として策定されました。ISO 26262はハードウェアおよびシステムの故障から車両を保護することを目的としているのに対し、ISO/SAE 21434は路上走行車のライフ・サイクル全体に対するサイバーセキュリティのフレームワークを提供します。

 

本稿では、ISO/SAE 21434がどのような問題に対処するのか、その概要についてご説明します。また、この自動車サイバーセキュリティ規格がEDAおよびIPソリューションに与える影響についても考察します。

ISO/SAE 21434とは

ISO/SAE 21434は、組織がサイバーセキュリティの脅威から保護された車両を設計するための強力なフレームワークとなります。2021年後半にリリースが予定されているこの新規格は、以下の内容をカバーします。

 

  • セキュリティ管理
  • プロジェクト依存のサイバーセキュリティ管理
  • 継続的なサイバーセキュリティ活動
  • 関連するリスク評価方法
  • 路上走行車のコンセプト製品開発および開発後の段階におけるサイバーセキュリティ
  • 継続的なサイバーセキュリティ監視

 

機能安全規格のISO 26262と同様に、ISO/SAE 21434も、今後予想される規制要件や独立機関によるサイバーセキュリティ監査に備えて、設計チームのプロセス、手続き、文書化が準拠すべき計画活動を定義しています。この新規格への適合は、まずサイバーセキュリティ計画から始まります。組織は一連のCAL(サイバーセキュリティ保証レベル)および各CALの目標と測定可能な指標を定義することが推奨されます。

 

この規格のもう1つの重要な要素であるセキュリティ・リスクの管理は、脅威分析およびリスク評価(TARA)により実施します。TARAはリスクの評価およびアセスメント方法に加え、特定したリスクの処置および計画についてもカバーしています。これらの方法は、NIST SP-800-30およびISO IEC 31010に沿った形で、攻撃の可能性と関連する影響に対処します。TARAには以下の内容が含まれます。

 

  • 資産の特定。設計チームは、車両ユーザーの観点から各資産のセキュリティ・プロパティ、およびその損害シナリオと影響を特定します。
  • 脅威の特定。損害シナリオの影響をまとめたら、次にこれらに対する脅威を特定します。
  • リスクの計算と周知。リスクを計算したら、特定したリスクの評価値を含む影響シナリオのリストを作成します。チームは、各リスクについて回避、軽減、転移、受容のいずれかを選択する必要があります。リスクは、ポリシーおよび手続きの中で共通の言語を使用して周知する必要があります。

ISO/SAE 21434がEDAツールおよびIPに与える影響

ここまで、ISO/SAE 21434の概要について述べました。次に、この新しい規格がEDAおよびIPに与える影響について考えていきます。この規格の策定段階では、チップ設計ソフトウェアは議論の対象に含まれていませんでした。しかし自動車のバリュー・チェーンの性質、そしてEDAおよびIPソリューションが機能安全規格ISO 26262からどのような影響を受けたかを考えると、サイバーセキュリティ規格ISO/SAE 21434からも同様の影響を受けると考えて差し支えないでしょう。

 

ISO/SAE 21434は、自動車のライフ・サイクル全体を通じて車両を悪意ある攻撃(多くの場合、予期しない形で実行される)から保護するための、一貫性のある繰り返し可能なプロセスを開発することに重点を置いています。事実、各国政府も車載機器メーカーに対してサイバー攻撃の影響を考慮するよう求めています。例えば米国運輸省道路交通安全局(NHTSA)は先ごろ「Cybersecurity Best Practices for the Safety of Modern Vehicles」レポートの最新版を発表しましたが、これは自動車サプライ・チェーン全体に影響を与えます。もし電子部品およびソフトウェアがサプライ・チェーンの一部に含まれるのであれば、その部品の開発に使用されるチップ設計、検証、プロトタイピング・ソフトウェアおよびIPブロック、そしてセキュアで高品質なソフトウェアの開発に使用されるソリューションもサプライ・チェーンの一部に含まれると考えるのが自然でしょう。

ISO/SAE 21434は、自動車のライフ・サイクル全体を通じて車両を悪意ある攻撃から保護するための、一貫性のある繰り返し可能なプロセスの開発の手引きとなるものです。

サイバーセキュリティは足元から固めていく必要があるため、EDAベンダには、自社が提供するツールおよびIPにサイバーセキュリティ保護策を最初から作り込むことが求められます。EDAソリューションに対するISO/SAE 21434認定要件はまだ存在しませんが、ISO 26262の場合と同様、これから定義が始まることが予想されます。機能安全に関して、シノプシスはISO 26262に沿ってASIL BおよびASIL Dに準拠したさまざまなソリューションをご提供しています。例えば、車載向けDesignWare® IPは、ISO 26262のハードウェアのランダム故障およびシステマティック開発に関してASIL BおよびASIL Dに準拠しています。また、車載チップの設計および検証ツールはISO 26262 ASIL Dへの適合が認定されており、品質および機能安全の認証にかかる時間を短縮していただくことができます。ISO/SAE 21434に関しても同様に、今後はソリューション側の適合が要求される可能性があります。この自動車サイバーセキュリティ規格の登場により、メーカーは製品が満たすべき機能要件、およびサイバーセキュリティの目標が満足されていることを確認するための検証要件を確立することが急務となります。

 

ベンダが自社製品に関するセキュリティの目標と要件を容易に確立できるように、よく知られた攻撃や攻撃パターン、およびソフトウェアの弱点に関するナレッジ・ベースがいくつか存在しており、これらを参考にしてEDAおよびIPソリューションを設計することができます。これらの知見は、脆弱性の体系的な分析を提供するプロセスの簡略化に役立ちます。これ以外にツール・ベンダが考慮すべき点としては、自社のテスト・インフラストラクチャにセキュリティを組み込む、サプライ・チェーンに影響を及ぼす可能性のある脆弱性を監視する、脆弱性が見つかった場合のインシデント・レスポンス・プロセスが存在することを確認する、などがあります。

 

IPの側では、これらのビルディング・ブロックをサイバーセキュリティ・モデルに適合させるためにどのような準備が必要でしょうか。つまり、潜在的な故障を原因までさかのぼって追跡し、その原因がIPであった場合にどうするのか、脅威をどのように軽減して対処するのか、その対処が完了したことをどのように証明するのか、といった点を考える必要があります。IPの開発プロセスでは、RTLを外部に渡す際や、ファブ内など、さまざまな場所で故障が挿入される可能性があります。まずは、TARAに示された手順を参考にして、シミュレーション、コード解析、静的解析用の形式的バリデーションを実行するツールの利用から始めると良いでしょう。サイバーセキュリティ活動をどのように追跡して対処するかは、IPのタイプによって異なることがあるため、柔軟性も重要です。IPブロックのソフトウェア・コンポーネントに問題がないことを確認するには、ソフトウェア開発ライフ・サイクルの早期に静的解析ソリューションを使用して、セキュリティおよび品質の欠陥に対処するのが効果的です。ブロックのRTLを記述する際は、よく知られた暗号化規格を使用します。また、形式的検証およびハードウェア・モジュール・チェック・ツールを使用して、IPが意図したとおりに動作することを確認する必要もあります。

トップダウンで自動車のサイバーセキュリティに投資を

車載向けのSoC/ソフトウェアであれ、EDAツール/IPであれ、サイバーセキュリティ・ソリューションの開発に成功するかどうかは、最終的には人と組織、そしてサプライ・チェーンへの投資にかかっています。サイバーセキュリティ計画はコーポレート・レベルで開始し、組織のあらゆる活動をその計画に基づいて進めるのが理想です。セキュリティ対策の実装に携わる人員は、既知および最新の脆弱性、それらを監視して対処する方法、および現在手がけているソリューションのライフ・サイクル全体ですべてのプロセスを文書化および追跡する方法について深く理解しておく必要があります。より安全でセキュアな自動車を実現するには、これらすべての要素が必要となります。