自動車のIoT化や自動運転等の高機能化に伴い、車載分野におけるサイバーセキュリティへの対応は必須となっています。
サイバーセキュリティが注目されている理由には、以下などがあります。
- 高度に発達したシステムは常に悪意の対象
IoTの導入が進み、サイバーフィジカルシステムなどを活用した開発が行われています。そのような高度なシステムは、常に悪意の対象となり得ます。 - 複雑かつ膨大なコード行数は脆弱性を増加させる
近年のソフトウェアコードは、特に車載関連のものにおいて複雑で行数が膨大となっており、その分脆弱性を増加させています。 - インターネット接続が増えるほど攻撃を受けやすい
コネクテッドの言葉も一般的になってきましたが、インターネット接続は車載をはじめ、産業や様々な分野で増えてきており、その分攻撃を受けやすい対象となってきています。
車載分野のサイバーセキュリティに適切に対応するためには、イーソルトリニティが取り扱う機能安全/サイバーセキュリティ対応脅威分析ツール「Ansys medini analyze」が有効です。
要求が日々増している、機能安全とサイバーセキュリティの両方に対して効率的かつ的確な分析手法を提供します。
今回は、本ツールのサイバーセキュリティ規格対応に関する機能について、デモ動画と併せてご紹介します。
車両サイバーセキュリティ規格:ISO/SAE 21434で定義されている脅威分析の効率化
Ansys medini analyzeにおけるサイバーセキュリティ対応の規格は、車両サイバーセキュリティ規格であるISO/SAE 21434です。リスク特定手法として、Attack Tree、EVITA、STRIDE、HEVENSが挙げられます。
ISO/SAE 21434で定義されている脅威分析の効率化へのアプローチ方法としては、以下のSTEPがあります。
- 評価対象となる車両システム内の資産を特定
- インターフェースなどのシステムレベルの脅威を特定
- システム及びコンポーネントレベルの脅威分析
- 脅威の関して影響や可能性を特定
- 各脅威のリスクレベルを定義
- 特定したリスクに対するサイバーセキュリティ対策の計画・実行
上記のSTEP 1・2・3において、ツール上での実際の動きをご覧いただけるデモ動画を新たに公開しました。本ツールを使用した場合の、具体的なフローをイメージしていただけるような内容となっていますので、以下よりぜひご覧ください。
Ansys medini analyze サイバーセキュリティ規格対応に関するデモ動画
■「資産の特定」(STEP 1)
システムアーキテクチャ内の任意のシステムモデル要素を資産として区別することができ、潜在的なセキュリティ属性の設定が可能です。
デモ動画では、システムアーキテクチャ図の要素に対して、下記を実施して資産特定を行う様子をご覧いただけます。
(1) 資産として設定する
(2) セキュリティ属性を設定する
[ 視聴所要時間 : 1分47秒 / 音声無し ]
■「脅威分析とリスクアセスメント(TARA)」(STEP 2)
特定された脅威は、脅威コレクションに集めて管理が可能です。また、各脅威の発生可能性レベル(Likelihoodlevel)は、個々の発生可能性パラメータをベースにして事前見積もりをすることができます。
デモ動画では、資産に対する脅威特定とリスクアセスメントを実施する様子をご覧いただけます。
[ 視聴所要時間 : 1分56秒 / 音声無し ]
■「アタックツリー」(STEP 3)
グラフィカルなアタックツリーエディタを追加できます。既知の攻撃と論理ゲートを組み合わせて潜在的な脅威へとつながる複雑な攻撃シナリオを構築可能です。
デモ動画では、攻撃シナリオをアタックツリーで分析し、アタックパスにより定性的評価を行う様子をご覧いただけます。
[ 視聴所要時間 : 3分34秒 / 音声無し ]
Ansys medini analyze 詳細情報
Ansys medini analyzeについての詳しい情報は、以下よりご覧いただけます。
ダウンロード資料や関連ウェビナーもありますので、ご興味のある方はぜひそちらも併せてご覧ください。
マーケティングコミュニケーション部 S.A
