C

CAL, Cybersecurity Assurance Level【キャル】(固)〔非推奨〕V字モデル右側における検証活動の目標値を示すレベル。部品のサプライヤに、検証活動をまるごと考えてもらいたいときに用いる。↔TAF


calibration【校正こうせい】(名)計量器が度量衡を正しく計測していることを検査すること。


― certificate【―証明しょうめいしょ】(名)校正機関が計量器に対して発行する証明書。


CAN, Controller Area Network【キャン】(固)2線のCSMA/CA方式の通信規格。自動車のネットワークに広く用いられている。


capability【能力のうりょく】(名)

① 組織にマネジメントシステムが存在し、それが機能している様。

② 個人のサイバーセキュリティに関する知識、経験、問題解決力。


― examination【―審査しんさ】(名)⇒examination


[関連]supplier ― evaluation【サプライヤ・能力のうりょく評価ひょうか】(名)主にOEMがサプライヤのCSMSを評価すること。


car【クルマ】(名)〔非推奨〕四輪車。⇒vehicle

▼技術文書においてcarと書くとダサい。


center【センター】(略)〔非推奨〕データセンターの略。⇒server


certification【認証にんしょう】(名・他サ)⇒homologation

① 審査機関が、組織や製品を審査し、法規や国際規格を満たしていると判定できたときに発行する証明書。また証明書を発行するための一連の活動。

② 自動車会社等が、事前準備をし、審査機関に申請し、受審し、証明書を受けとるまでの一連の活動。

▼認証をする側も、される側も、どちらも認証という。


certified【〇〇・認証にんしょう】(名)組織や製品が、審査機関による認証を受けているいること。


CIA triad【シィアイエー・トライアド】(固)情報セキュリティ属性のなかで最も重要な3つの属性である機密性、完全性、可用性の頭文字。

▼CIAは、情報セキュリティにおいて重視される順に並んでる。一方、自動車会社は完全性、重要インフラ事業者は可用性を最重視する。


CIA, cybersecurity interface agreement【サイバーセキュリティ・インタフェース・協定きょうてい】(固)顧客とサプライヤの間で、サイバーセキュリティのための活動の役割分担をするための文書。

▼ISO 26262のDIAに当たる。UN-R155の7.2.2.5項に関連する要求があるため、実質的には法規要件である。

▼自動車会社とTier 1サプライヤの間だけではなく、Tier 1サプライヤとTier 2サプライヤの間でも合意される。


CIO, cheif information officer【シィアイオー】(略)最高情報責任者。

▼組織外部のコンサルタントなどが用いる用語。部署や役職の名称は組織毎にまちまちだが、それらが一言で表現できる。組織の内部において用いるのは稀。


CISO, cheif information security officer【シィアイオー】(略)最高情報セキュリティ責任者。

▼CIOに比べて新しい用語。CIOに比べると業務所掌範囲が狭く、下位の役職と解釈される傾向がある。


common criteria【コモン・クライテリア】(固)IT製品や情報システムの情報セキュリティを評価する国際規格。ISO/IEC 15408。


completeness【完全かんぜんせい】(名)前工程の作業成果物の内容が、後工程の作業成果物へと、もれなくブレイクダウンできている様。網羅性。⇒Three Cs of Requirements

▼例えば、脅威シナリオから攻撃経路へのブレイクダウン。V字モデルにおける上位からの要求仕様から、下位の実装仕様へのブレイクダウン。

▼サイバーセキュリティ属性の一つであるintegrityと和訳が同じなため、『完全性』をcompletenessの意味で用いるときは、英語を併記する。


component【コンポーネント】(名)アイテムを構成する部品や機能。⇒part

▼英語のpartには『一部』と『部品』の両方の意味がある。一度『一部』の意味で使用してしまうと、同一文書では『部品』の意味で使用できない。このため、代わりにコンポーネントが用いられる。


compromise【危殆きたい・する】(動)従来はセキュアであったのに、主に外的要因によって、それを失った状態になる。

▼資産のサイバーセキュリティ属性が危殆化すると、損害が生じる。「暗号アルゴリズムが―。」


concept phase【コンセプト・フェーズ】(名)V字モデルにおける左上の工程。


confidentiality【機密きみつせい】(名)サイバーセキュリティ属性の一つ。中身が見えないこと。バレると困るものがバレていないこと。「透明な衣装ケースは―が確保できない」⇒CIA triad


consistency【一貫いっかんせい】(名)ふたつの作業成果物を比較したとき、それらの間に矛盾がないこと。⇒Three Cs of Requirements

▼前工程と後工程の間にも、並行する工程の間にも、どちらにも用いる。例えば、V字モデルにおける上位からの要求仕様と、それを具体化した下位の実装仕様との間に矛盾がない様。また、具体化した実装仕様と、その実装仕様に関連する種々の車両機能や運用環境との間に、矛盾がない様。


correctness【正確せいかくせい】(名)作業成果物の記述に誤りがない様。曖昧でない様。⇒Three Cs of Requirements


counter・measure【対策たいさく】(名)〔非推奨〕リスクを低減するために追加する技術や仕組み。⇒control, treatment

▼ISO/SAE 21434:2021は、複数箇所でmeasureを使用されているが、countermeasureは不使用である。

▼日本語の対策という単語は、便利であるが、あいまいである。犯罪対策はcountermeasureと訳してもよいが、防犯対策はmeasureの方が適切である。


criteria【クライテリア】(名)指標。目安。

▼criterionの複数形。不規則な複数形変化をする。


CRYPTREC 【クリプトレック】(固)電子政府推奨暗号の安全性の評価・監視と、暗号技術の適切な実装法・運用法を調査する産官学プロジェクト。


― ciphers list【―暗号あんごう・リスト】(固)電子政府における調達のために参照すべき暗号のリスト。CRYPTRECが公開している。


CS【シィエス】(略)

① サイバーセキュリティの略。⇒cybersecurity

② サイバーセキュリティ法規の略。⇒UN-R155

▼サイバーセキュリティをCSと略すのは、自動車業界だけの文化である。


CSIRT, computer security incident response team【シィサート】(略)インシデントに対応するチーム。CERT。SIRT。


CSMS, cyber security management system【シィエスエムエス】(略)サイバーセキュリティのリスクマネジメントをするための社内規程と組織体制。


CS/SU【シィエス・エスユー】(略)同時に発行されたサイバーセキュリティ法規とソフトウェア更新法規を対にして呼ぶときの略称。


customer【顧客こきゃく】(名)

① 車両やその関連商品を利用する人、組織。お客様。↔OEM

② CIAを締結する主体者のうち、費用を払う側。↔サプライヤ


CVE, common vulnerabilities and exposures【シィブィイー】(固)

① 最も普及している脆弱性の識別子。

② 米国MITRE社が公開している脆弱性データベース。「発見した脆弱性が―に登録された」


CVSS, common vulnerability scoring system【シィブィエスエス】(固)

① 脆弱性のリスク指標。国際的に最も普及している。最小0から最大10までの点数。

② 攻撃実現可能性の格付け手法の一つ。


cyber・security【サイバー・セキュリティ】(名・形動)UN-R155が『電気部品又は電子部品に対するサイバー脅威から車両及びその機能が保護されている状態』と定義している。

▼UN-R155では、cyberとsecurityの間に半角スペースがある。ISO/SAE 21434ではつながっている。

▼読み手によって解釈が異なる。特に『情報セキュリティ』との違いが、度々議論になる。例えば、人の記憶や手書きのメモを介する情報漏えいは『サイバーセキュリティ』に当たらないとされるが、ほとんどの場面で同じ意味と思って差し支えない。軍や警察などの行政機関は『サイバーセキュリティ』を好む。


― assessment【―・アセスメント】(名)

① 作業成果物を客観的に評価すること。ISO 26262の『機能安全アセスメント』に対応する工程。

② 内部監査人協会(IIA)が提唱する『三つの防衛線モデル』における、第二線がする工程。「ISO/IEC 33kシリーズに沿って―する」

▼読み手によって解釈が異なる。性悪説をベースとする欧米流の考え方では、設計者とは異なる報告ルートを有する者(経営層へ報告することでインセンティブを得られる者)がしなければならない。一方、日本流のものづくりは性善説をベースにしている。ISO 26262は両者とも成り立つように規定されているため、設計者がしてもよい。


― case【―・ケース】(名)サイバーセキュリティのリスクマネジメントができている証拠となる文書。プロジェクトごとに作成する。ISO 26262における『セーフティケース』に当たる用語。

▼厳密には誤りであるが、サイバーセキュリティを専門としない設計者には『社内規程に沿って作成した作業成果物の一覧表』と説明するとよい。


― claim【―・クレイム】(名)

① リスククライテリアを上回るリスクに対してリスク保有を選択するときに、それが妥当な選択であることを裏付ける論理的根拠。言い訳。

② リスク共有を選択するときに、共有する相手(例:お客様、業務委託先)にする要求。

▼車両の設計者が、自動車会社内部の部署とリスク共有するときは、(リスククレイムではなく、)運用環境への要求に当たる。

▼サイバーセキュリティ要求がサイバーセキュリティ管理策にブレイクダウンされるように、サイバーセキュリティ要求もサイバーセキュリティ管理策にブレイクダウンすることができる。ただし、サイバーセキュリティ要求の対応でさえ十分に大変なので、多くの技術者にはサイバーセキュリティクレイムのことにかまける余裕がない。


― concept【―・コンセプト】(名)

① サイバーセキュリティ要求、運用環境への要求、サイバーセキュリティクレイムの総称。

② コンセプトフェーズの作業成果物。

③ OEMが自社の開発する車両で実現したい或いはサプライヤが自社の開発する部品で実現したいサイバーセキュリティの方針や方向性。

[コロケーション]derive, specify


― control【―・管理かんりさく】(名)サイバーセキュリティコンセプトの一部。サイバーセキュリティ要求、運用環境に対する要求またはサイバーセキュリティクレイムを、サイバーセキュリティ仕様へと落とし込む際に導出する、中間的なもの。対策。

[コロケーション](可)derive, derivation(不可)specify, define, defining, definition, specification

▼サイバーセキュリティ要求+howのイメージ。

▼リスクを低減するときのサイバーセキュリティ管理策を、低減策や軽減策という。

▼サイバーセキュリティゴールとサイバーセキュリティ要求は、目標に近い。一方、サイバーセキュリティ管理策とサイバーセキュリティ仕様は、対策に近い。


― event【―・イベント】(名)アイテムまたはコンポーネントに関連付けられたサイバーセキュリティ情報。

▼サイバーセキュリティ情報→サイバーセキュリティイベント→ウィークネス→脆弱性の順に特定していく様が、出世魚に例えられる。


― goal【―・ゴール】(名)リスクを低減することによって達成をめざす水準。設計者が実現すべき最上位の要求となる。例:リスクを低減する攻撃経路Aに対し、何らかのサイバーセキュリティ管理策を適用し、リスク値を5から2に下げる。

▼目的は、資産のサイバーセキュリティ属性が危殆化されないようにすること。

▼サイバーセキュリティゴール(When, How many)→サイバーセキュリティ要求(+What, Who, Where)→サイバーセキュリティ管理策(+How)→サイバーセキュリティ仕様の順に具体化していく。


[コロケーション](可)realize, derive, specify, derivation, definition(不可)defining

▼分散開発をするときに、OEMからサプライヤに提供されることがある。提供されないこともある。


― incident【―・インシデント】(名)量産車に脆弱性が見つかったり、量産車が攻撃を受けたと分かったりすること。CSIRTやPSIRTが中心となって対応する。

▼運輸や医療の現場では、実際に損害が起きた『アクシデント』と、損害には至らなかった『インシデント』とに区別している。一方、サイバーセキュリティの現場では、損害の有無にかかわらず『インシデント』と呼ぶ。


― information【―・情報じょうほう】(名)サイバーセキュリティに関する有象無象の情報。

▼サイバーセキュリティ情報→サイバーセキュリティイベント→ウィークネス→脆弱性の順に特定していく様が、出世魚に例えられる。


― property【―・属性ぞくせい】(名)

① 情報セキュリティの三要素(機密性、完全性、可用性)。⇒CIA triad

② 情報セキュリティの三要素に、真正性、責任追跡性、否認防止、信頼性を加えたもの。拡張CIA。


― requirement【―・要求ようきゅう】(名)具体的な車載部品に配置したサイバーセキュリティゴール。リスク低減をする攻撃経路上にある一つ以上の部品に配置する。多層防衛をするときは複数の部品に配置する。↔運用環境への要求

[コロケーション](可)derive, specify, allocate, derivation, definition(不可)defining

▼サイバーセキュリティゴール+whereのイメージ。


― relavance【―・関連かんれんせい】(名)CSMSを適用する要否を判定するクライテリア。

▼関連性がある部品は、品質マネジメントシステムに加え、CSMSに沿って活動する。ISO 26262におけるASILとQMの関係性に似た考え方。


― specification【―仕様しよう】(名)サイバーセキュリティ管理策を実現するための具体的な手段。自社やサプライヤへの要求事項。仕様書。

[コロケーション](可)design(不可)specify(注意)defineは仕様書を詳細化するイメージ

▼cybersecurity requirementとcybersecurity specificationは、ISO/SAE 21434の本文中に現れるが、cybersecurity goalやcybersecurity controlとは違い、用語としては定義されていない。このため、専門用語というよりは、一般的な要求や仕様のニュアンスと解釈してよい。

  • Xで共有
  • Facebookで共有
  • はてなブックマークでブックマーク

作者を応援しよう!

ハートをクリックで、簡単に応援の気持ちを伝えられます。(ログインが必要です)

応援したユーザー

応援すると応援コメントも書けます

新規登録で充実の読書を

マイページ
読書の状況から作品を自動で分類して簡単に管理できる
小説の未読話数がひと目でわかり前回の続きから読める
フォローしたユーザーの活動を追える
通知
小説の更新や作者の新作の情報を受け取れる
閲覧履歴
以前読んだ小説が一覧で見つけやすい
新規ユーザー登録無料

アカウントをお持ちの方はログイン

カクヨムで可能な読書体験をくわしく知る