新・明解ISO/SAE 21434 用語編

OWASP758クルマ分科会事務局

A

access control【アクセス・制御せいぎょ】(名・他サ)適切な利用者のみが資産を扱えるようにするため、物理セキュリティやサイバーセキュリティの技術を一つ以上適用すること。


accessary【用品ようひん】(名)WVTAに含まれていない部品。車両工場から出荷された時点では装着されておらず、車両登録の後で取り付ける。ディーラーが販売している純正用品と、カー用品店が販売しているサードパーティ製の用品がある。⇒aftermarket, dealer option


accountability【責任せきにん追跡ついせきせい】(名)

① 過去のある挙動に対し、それを一意に追跡できることを保証するサイバーセキュリティ属性。拡張CIAのひとつ。

② お客様、株主及び社会への説明責任があること。RASICのA。⇒RASIC

▼RASICのAは、常に1者にのみ付与する。


accuracy【正確せいかくせい】(名)上位の要求を下位の仕様へと具体化するとき、仕様が要求を忠実に達成している様。且つ、その仕様を誰が読んでも誤解しにくい様。

▼V字モデルの左側において用いる。一般に、サプライヤは複数の自動車会社からの要求仕様書をもとに、自社製品の詳細仕様書を作成する。


act on the protection of personal information【個人こじん情報じょうほう保護ほごほう】(固)2003年に成立した個人情報の保護に関する日本の法律。


after・market【アフター・マーケット】(形)

① 新車の登録のときに、車両に搭載されていない様。または、そのような部品やサービスの総称。↔factory fitted


― part【―・ひん】(名)ディーラーオプションやサードパーティ製品のこと。⇒accessary


AIS, Automotive Industry Standard【エーアイエス】(固)インドの産業規格。強制力がある。


Annex 5【附則ふそく5】(固)UN-R155の附則の一つ。脅威・脆弱性と、低減策の例をそれぞれ表に列挙している。

▼ISO/IEC 27001のAnnex 5を参考にして作成されたと考えられる。

▼無秩序に例が列挙されており、自動車会社が扱いに苦慮している。

▼国際規格ISO/SAE 21434の規定する脅威分析は、このような例との相性が悪い。なぜなら、トップダウン型のリスクアセスメントは、具体的すぎる例との相性が悪いため。


anti-tamparing【改竄かいざん防止ぼうし】(名)所有者の意志による改造や変更を防止すること。

▼サイバーセキュリティには含めない場合が多い。


asset【資産しさん】(名)攻撃されると困るもの。経営資源。脅威分析などのトップダウン型のリスクアセスメントにおいて、一番最初に決定する。

▼具体的なもの(例:電子機器、データ、信号)も、抽象的なもの(例:道路利用者の安全、企業のレピュテーション)も、どちらも資産である。

▼トップダウン型のリスクアセスメントにかかる工数は、資産の数が支配的である。もしサイバーセキュリティ管理策を実現するためのもの(例:暗号鍵)を資産に含めてしまうと、脅威分析が無限ループし、工数が爆発する。

[関連]protected asset【保護ほご資産しさん】(名)〔非推奨〕リスクを低減する脅威や攻撃経路に紐づく資産。


attack【攻撃こうげき】(名・他サ)サイバー攻撃。↔defense

▼『サイバー攻撃』と書くと新聞記事っぽい。『攻撃』と書くほうが通っぽい。

▼5W2Hを指定しない最も抽象的な表現。


― feasibility【―・実現じつげん可能性かのうせい】(名)攻撃のしやすさ。リスク分析における変数の一つとして用いる。一つの攻撃経路に対し、高、中、低、極低の4段階から格付けする。通常は、リスク決定表の横軸に割り当てる。

▼格付け手法は、ISO/SAE 21434の附属書Gが定義する3つの中から選択する。

▼ばらつきが生じやすいため、評価者と評価パラメーターを同時に記録するとよい。


― path【―・経路けいろ】(名)

① 攻撃するときの一連の作業。侵入経路。

② 脅威が実現し得る具体的な手段を、文章や図に示したもの。「木構造で―を図示する」

[コロケーション](可)derive

▼攻撃は一つ以上の作業に分割できる。例えば、車両を遠隔で操縦したければ、事前にECUのソフトウェアのソースコードを入手し、次にECUのソフトウェアを不正に更新し、最後に無線通信によって操縦コマンドを送信する、という流れになる。これらの作業の一連のこと。

▼『ISO/SAE 21434:2021』は、攻撃位経路に対して攻撃実現可能性を評価する。このため、攻撃経路は、攻撃実現可能性を評価するのに十分な情報を伴う必要がある。

▼一つの資産に対し攻撃経路は複数考えられる。暗号鍵やプログラムのような間接的に損害の生じる資産では、攻撃実現可能性が最も大きな攻撃経路に絞ってよい。一方、財産情報やプライバシー情報のような直接的に損害の生じる試算では、攻撃経路を絞ってしまうと対策に漏れが生じる恐れがある。


― potential【アタック・ポテンシャル】(名)攻撃実現可能性の格付け手法の一つ。攻撃能力。

[コロケーション](可)derive

▼コモンクライテリアが規定する手法を、一部変更したもの。


― surface【アタック・サーフェース】(名)

① 攻撃者と車両との境界にあるインタフェース。攻撃の入口。⇒entry point

② サイバーセキュリティのテストをすべき車両や部品のインタフェース。

▼リスクの大小に関わらず、すべてのインタフェースが当てはまる。エントリーポイントに比べ、攻撃者目線の用語。


― vector【アタック・ベクター】(名)攻撃実現可能性の格付け手法の一つ。攻撃元区分。

▼アタックポテンシャルやCVSSに比べ、計算コストが低いため、脅威分析に適している。一方、脆弱性分析には不向きなため、両方の分析をする組織では他の格付け手法と併用する必要がある。


attacker【攻撃こうげきしゃ】(名)攻撃する人、組織。「近年の―は国家ぐるみだ」


audit【監査かんさ】(名・他サ)

① 社内規程や作業成果物を、客観的に評価する工程。「ISO 26262の機能安全―」

② 内部監査人協会(IIA)が提唱する『三つの防衛線モデル』における、第三線がする活動。「ISO 19011に沿って―する」「内部―を受ける」

▼読み手によって解釈が異なる。欧米流のものづくりは性悪説がベースのため、設計者とは異なる報告ルートを有する者(経営層へ報告することでインセンティブを得られる者)がしなければならない。一方、日本流のものづくりは性善説をベースにしている。ISO 26262は両者とも成り立つように規定されているため、設計者がしてもよい。


authentication【認証にんしょう】(名・他サ)

① 〔非推奨〕対象が判定基準を満たしていると保証すること。→certified

② サイバーセキュリティ属性の一つ。利用者の ID が正規であることが保証できている様。→authenticity


authenticity【真正しんせい性・《せい》】(名)サイバーセキュリティ属性の一つ。まがい物ではない様。↔spoofing


authorization【認可にんか】(名・他サ)

① 行為を可能とする権利を付与すること。付与された様。

② サイバーセキュリティ属性の一つ。利用者にアクセスが許可または拒否されたことが保証できている様。↔elevation of privilege

▼日本では、クレジットカードの決済をするときの処理をオーソリという。


AUTO-ISAC【オート・アイザック】(固)北米の自動車会社によるサイバーセキュリティの団体。

▼『NHTSA best practices』が加入を強く推奨している。また、この団体を通じて情報共有をするよう求めている。


availability【可用かようせい】(名)サイバーセキュリティ属性の一つ。使いたいときに使える様。「蓋が上にある衣装ケースをたくさん積むと、―が下がる」⇒CIA triad

▼車両は故障しやすく、かつ資源が限られているため、可用性を守ることは困難なことが多い。

▼可用性には、ミクロ(例:CANメッセージが送受信できない)とマクロ(例:車がつかえない)の2段階がある。


avoiding the risk【リスク・回避かいひ】(名・自サ)リスク対応オプションの一つ。そのリスクが生じ得る活動を取りやめること。

▼このオプションを選んだときは、前工程への差し戻しになる。このため、リスクアセスメントの報告書には、原則として現れない。

  • Xで共有
  • Facebookで共有
  • はてなブックマークでブックマーク

作者を応援しよう!

ハートをクリックで、簡単に応援の気持ちを伝えられます。(ログインが必要です)

応援したユーザー

応援すると応援コメントも書けます

新規登録で充実の読書を

マイページ
読書の状況から作品を自動で分類して簡単に管理できる
小説の未読話数がひと目でわかり前回の続きから読める
フォローしたユーザーの活動を追える
通知
小説の更新や作者の新作の情報を受け取れる
閲覧履歴
以前読んだ小説が一覧で見つけやすい
新規ユーザー登録無料

アカウントをお持ちの方はログイン

カクヨムで可能な読書体験をくわしく知る