新・明解ISO/SAE 21434 用語編

C

CAL, Cybersecurity Assurance Level【キャル】（固）〔非推奨〕V字モデル右側における検証活動の目標値を示すレベル。部品のサプライヤに、検証活動をまるごと考えてもらいたいときに用いる。↔TAF

CAN, Controller Area Network【キャン】（固）2線のCSMA/CA方式の通信規格。自動車のネットワークに広く用いられている。

capability【能力（のうりょく）】（名）

① 組織にマネジメントシステムが存在し、それが機能している様。

② 個人のサイバーセキュリティに関する知識、経験、問題解決力。

― examination【―審査（しんさ）】（名）⇒examination

［関連］supplier ― evaluation【サプライヤ･能力（のうりょく）･評価（ひょうか）】（名）主にOEMがサプライヤのCSMSを評価すること。

car【クルマ】（名）〔非推奨〕四輪車。⇒vehicle

▼技術文書においてcarと書くとダサい。

center【センター】（略）〔非推奨〕データセンターの略。⇒server

certification【認証（にんしょう）】（名・他サ）⇒homologation

① 審査機関が、組織や製品を審査し、法規や国際規格を満たしていると判定できたときに発行する証明書。また証明書を発行するための一連の活動。

② 自動車会社等が、事前準備をし、審査機関に申請し、受審し、証明書を受けとるまでの一連の活動。

▼認証をする側も、される側も、どちらも認証という。

certified【〇〇･認証（にんしょう）】（名）組織や製品が、審査機関による認証を受けているいること。

CIA【シィアイエー】（略）機密性、完全性、可用性の頭文字。

▼CIAは、情報セキュリティにおいて重視される順に並んでる。一方、自動車会社は完全性、重要インフラ事業者は可用性を最重視する。

CIA, cybersecurity interface agreement【サイバーセキュリティ･インタフェース･協定（きょうてい）】（固）顧客とサプライヤの間で、サイバーセキュリティのための活動の役割分担をするための文書。

▼ISO 26262のDIAに当たる。UN-R155の7.2.2.5項に関連する要求があるため、実質的には法規要件である。

▼自動車会社とTier 1サプライヤの間だけではなく、Tier 1サプライヤとTier 2サプライヤの間でも合意される。

CIO, cheif information officer【シィアイオー】（略）最高情報責任者。

▼組織外部のコンサルタントなどが用いる用語。部署や役職の名称は組織毎にまちまちだが、それらが一言で表現できる。組織の内部において用いるのは稀。

CISO, cheif information security officer【シィアイオー】（略）最高情報セキュリティ責任者。

▼CIOに比べて新しい用語。CIOに比べると業務所掌範囲が狭く、下位の役職と解釈される傾向がある。

common criteria【コモン･クライテリア】（固）IT製品や情報システムの情報セキュリティを評価する国際規格。ISO/IEC 15408。

completeness【完全（かんぜん）･性（せい）】（名）V字モデルにおける上位からの要求仕様が、下位の実装仕様にもれなくブレイクダウンできていること。網羅性。

▼サイバーセキュリティ属性の一つであるintegrityと和訳が同じなため、『完全性』をcompletenessの意味で用いるときは、英語を併記する。

component【コンポーネント】（名）アイテムを構成する部品や機能。⇒part

▼英語のpartには『一部』と『部品』の両方の意味がある。一度『一部』の意味で使用してしまうと、同一文書では『部品』の意味で使用できない。このため、代わりにコンポーネントが用いられる。

compromise【危殆（きたい）･化（か）･する】（動）従来はセキュアであったのに、主に外的要因によって、それを失った状態になる。

▼資産のサイバーセキュリティ属性が危殆化すると、損害が生じる。「暗号アルゴリズムが―。」

concept phase【コンセプト･フェーズ】（名）V字モデルにおける左上の工程。

confidentiality【機密（きみつ）･性（せい）】（名）サイバーセキュリティ属性の一つ。中身が見えないこと。バレると困るものがバレていないこと。「透明な衣装ケースは―が確保できない」

consistency【一貫（いっかん）･性（せい）】（名）V字モデルにおける上位からの要求仕様と、それを具体化した下位の実装仕様との間に、矛盾がないこと。また、具体化した実装仕様と、その実装仕様に関連する種々の車両機能や運用環境との間に、矛盾がないこと。

correctness【正確（せいかく）･性（せい）】（名）要求仕様や実装仕様の記述が曖昧でないこと。

counter･measure【対策（たいさく）】（名）〔非推奨〕リスクを低減するために追加する技術や仕組み。⇒control, treatment

▼日本語の対策という単語は、用途が広いため、英訳のときに注意すべきである。犯罪対策のようにcountermeasureが適切なときと、防犯対策のように単にmeasureが適切なときの両方がありえる。

criteria【クライテリア】（名）指標。目安。

▼criterionの複数形。不規則な複数形変化をする。

CRYPTREC 【クリプトレック】（固）電子政府推奨暗号の安全性の評価・監視と、暗号技術の適切な実装法・運用法を調査する産官学プロジェクト。

― ciphers list【―暗号（あんごう）･リスト】（固）電子政府における調達のために参照すべき暗号のリスト。CRYPTRECが公開している。

CSIRT, computer security incident response team【シィサート】（略）インシデントに対応するチーム。CERT。SIRT。

CSMS, cyber security management system【シィエスエムエス】（略）サイバーセキュリティのリスクマネジメントをするための社内規程と組織体制。

customer【顧客（こきゃく）】（名）

① 車両やその関連商品を利用する人、組織。お客様。↔OEM

② CIAを締結する主体者のうち、費用を払う側。↔サプライヤ

CVE, common vulnerabilities and exposures【シィブィイー】（固）

① 最も普及している脆弱性の識別子。

② 米国MITRE社が公開している脆弱性データベース。「発見した脆弱性が―に登録された」

CVSS, common vulnerability scoring system【シィブィエスエス】（固）

① 脆弱性のリスク指標。国際的に最も普及している。最小0から最大10までの点数。

② 攻撃実現可能性の格付け手法の一つ。

cyber･security, CS【サイバー･セキュリティ】（名・形動）UN-R155が『電気部品又は電子部品に対するサイバー脅威から車両及びその機能が保護されている状態』と定義している。

▼UN-R155では、cyberとsecurityの間に半角スペースがある。ISO/SAE 21434ではつながっている。

▼読み手によって解釈が異なる。特に『情報セキュリティ』との違いが、度々議論になる。例えば、人の記憶や手書きのメモを介する情報漏えいは『サイバーセキュリティ』に当たらないとされるが、ほとんどの場面で同じ意味と思って差し支えない。軍や警察などの行政機関は『サイバーセキュリティ』を好む。

― assessment【―･アセスメント】（名）

① 作業成果物を客観的に評価すること。ISO 26262の『機能安全アセスメント』に対応する工程。

② 内部監査人協会（IIA）が提唱する『三つの防衛線モデル』における、第二線がする工程。「ISO/IEC 33kシリーズに沿って―する」

▼読み手によって解釈が異なる。性悪説をベースとする欧米流の考え方では、設計者とは異なる報告ルートを有する者（経営層へ報告することでインセンティブを得られる者）がしなければならない。一方、日本流のものづくりは性善説をベースにしている。ISO 26262は両者とも成り立つように規定されているため、設計者がしてもよい。

― case【―･ケース】（名）サイバーセキュリティのリスクマネジメントができている証拠となる文書。プロジェクトごとに作成する。ISO 26262における『セーフティケース』に当たる用語。

▼厳密には誤りであるが、サイバーセキュリティを専門としない設計者には『社内規程に沿って作成した作業成果物の一覧表』と説明するとよい。

― claim【―･クレイム】（名）

① リスククライテリアを上回るリスクに対してリスク保有を選択するときに、それが妥当な選択であることを裏付ける論理的根拠。言い訳。

② リスク共有を選択するときに、共有する相手（例：お客様、業務委託先）にする要求。

▼車両の設計者が、自動車会社内部の部署とリスク共有するときは、（リスククレイムではなく、）運用環境への要求に当たる。

― concept【―･コンセプト】（名）

① サイバーセキュリティ要求、運用環境への要求、サイバーセキュリティクレイムの総称。

② コンセプトフェーズの作業成果物。

③ OEMが自社の開発する車両で実現したい或いはサプライヤが自社の開発する部品で実現したいサイバーセキュリティの方針や方向性。

［コロケーション］derive, specify

― control【―･管理（かんり）･策（さく）】（名）サイバーセキュリティ要求をサイバーセキュリティ仕様に落とし込む際の中間的なもの。⇒mitigation, countermeasure

［コロケーション］（可）derive, derivation（不可）specify, define, defining, definition, specification

▼サイバーセキュリティ要求＋howのイメージ。

▼サイバーセキュリティゴールとサイバーセキュリティ要求は、目標に近い。一方、サイバーセキュリティ管理策とサイバーセキュリティ仕様は、対策に近い。

― event【―･イベント】（名）アイテムまたはコンポーネントに関連付けられたサイバーセキュリティ情報。

▼サイバーセキュリティ情報→サイバーセキュリティイベント→ウィークネス→脆弱性の順に特定していく様が、出世魚に例えられる。

― goal【―･ゴール】（名）設計者が実現すべき最上位の要求。リスク低減すべき攻撃経路から、資産のサイバーセキュリティ属性が危殆化されないように守ること。

［コロケーション］（可）derive, specify, derivation, definition（不可）defining

▼分散開発をするときに、OEMからサプライヤに提供されることがある。提供されないこともある。

― incident【―･インシデント】（名）量産車に脆弱性が見つかったり、量産車が攻撃を受けたと分かったりすること。CSIRTやPSIRTが中心となって対応する。

▼運輸や医療の現場では、実際に損害が起きた『アクシデント』と、損害には至らなかった『インシデント』とに区別している。一方、サイバーセキュリティの現場では、損害の有無にかかわらず『インシデント』と呼ぶ。

― information【―･情報（じょうほう）】（名）サイバーセキュリティに関する有象無象の情報。

▼サイバーセキュリティ情報→サイバーセキュリティイベント→ウィークネス→脆弱性の順に特定していく様が、出世魚に例えられる。

― property【―･属性（ぞくせい）】（名）

① 情報セキュリティの三要素（機密性、完全性、可用性）。CIA。

② 情報セキュリティの三要素に、真正性、責任追跡性、否認防止、信頼性を加えたもの。拡張CIA。

― requirement【―･要求（ようきゅう）】（名）具体的な車載部品に配置したサイバーセキュリティゴール。リスク低減をする攻撃経路上にある一つ以上の部品に配置する。多層防衛をするときは複数の部品に配置する。↔運用環境への要求

［コロケーション］（可）derive, specify, derivation, definition（不可）defining

▼サイバーセキュリティゴール＋whereのイメージ。

― relavance【―･関連（かんれん）･性（せい）】（名）CSMSを適用する要否を判定するクライテリア。

▼関連性がある部品は、品質マネジメントシステムに加え、CSMSに沿って活動する。ISO 26262におけるASILとQMの関係性に似た考え方。

― specification【―仕様（しよう）】（名）サイバーセキュリティ管理策を実現するための具体的な手段。自社やサプライヤへの要求事項。仕様書。

［コロケーション］（可）design（不可）specify（注意）defineは仕様書を詳細化するイメージ

▼サイバーセキュリティゴール→サイバーセキュリティ要求→サイバーセキュリティ管理策→サイバーセキュリティ仕様の順に具体化していく。