R

recall【リコール】(名・他サ)自動車会社等が、保安基準に適合していない製品を回収し、無料で修理する制度。

▼事前に当局へ届け出をしなければならない。届け出をせずに修理すると「ヤミ改修」と呼ばれる。


recommendation【勧告かんこく】(名)行政機関や自動車会社等に期待する事項が書かれた文書。regulationよりも強制力が低い。


reducing the risk【リスク・低減ていげん】(名・自サ)リスク対応オプションの一つ。新たな対策を追加して、攻撃実現可能性を下げようと試みること。


registration【登録とうろく】(名・他サ)行政機関からナンバープレートの交付を受けること。

▼完成検査から登録までの間は、用品の取付や改造をしてはいけない。


regulation【法規ほうき】(名)行政機関や自動車会社等に強制する事項が書かれた文書。強制力のある文書。

▼自動車は、他の製品に比べて法規が充実しているため、法規が対策を追加する根拠になることが多い。また、Webサービスのような集約型のシステムと違い、自動車は分散型のシステムであるため、対策を追加すると、製品の価格増に直結する。このため、法規がなければ対策を追加できないことも多い。すなわち、法規の重要性が極めて高い。

▼regulationは、ruleに比べて拘束力が強い。ruleはregulationに比べて慣習的なニュアンスが強い。


re・programming【リプロ】(名・他サ)ECUのプログラムを更新し、不具合を修正すること。⇒software update

▼パラメータの変更や地図データの更新は、リプロに含まれない場合が多い。


repudiability【否認ひにん】(名)S.T.R.I.D.E.のR。否認防止性を危殆化する脅威。⇒S.T.R.I.D.E. model


requirements on the operational environment【運用うんよう環境かんきょう・への・要求ようきゅう】(名)車載部品以外に配置されたサイバーセキュリティゴール。↔cybersecurity requirement


retaining the risk【リスク・保有ほゆう】(名・自サ)リスク対応オプションの一つ。そのリスクが発生したときの損害を受け入れること。サイバーセキュリティゴールの代わりに、サイバーセキュリティクレイムを設定する。


risk【リスク】(名)このまま放っておくと生じる攻撃によって、その資産の所有者が受けるであろう困り具合。その大小は、攻撃実現可能性とインパクトの2変数によって決まる。

[コロケーション](可)specify


― acceptance【リスク・受容じゅよう】(名・自サ)リスク値がリスククライテリアを下回っているため、リスク対応をしないこと。

▼『ISO/SAE 21434:2021』はこの用語を用いていない。


― analysis【リスク・分析ぶんせき】(名・自サ)リスクアセスメントにおける2番目の工程。特定したリスクに対し、リスク値を算出すること。


― assessment【リスク・アセスメント】(名・自サ)リスク特定、リスク分析、リスク評価の三つの作業の総称。↔risk treatment

▼『リスク評価』と和訳してはいけない。

▼ISO/SAE 21434は、脅威分析の中でリスク対応オプションを選択しているが、この作業はリスクアセスメントに含まれない。


― categorization【リスク・仕分しわけ】(名)〔非推奨〕以下のいずれかの作業と推測されるが、統一された見解がなく、よくわかっていない。

① リスクドメインによって分類する。

② インパクトカテゴリによって分類する。

③ インパクトと攻撃実現可能性から、リスク値を1~5のいずれかに分類する。

④ リスク値とリスククライテリアとを比較する。

⑤ リスク値が、リスククライテリアを上回っているか、下回っているかに分類する。

⑥ トリガーによるトリアージ。または、サイバーセキュリティイベントの評価。

▼categorizationという表現は、『UN-R155』の7.2.2.2.(c)項と7.2.2.3.項に現れる用語であるが、国際規格において用いられている一般的な用語ではない。脅威分析をしていれば達成ができるものであって、そこまで強い要求ではないと思われる。日本語の分けると分かるが同語源であるように、リスクを理解することと捉えてもよいかもしれない。

▼リスク対応オプションの選定のことと説明している資料があるが、この解釈は正しくない。


― criteria【リスク・クライテリア】(名)リスク評価をするときに用いる境界線。ふるいの目の粗さ。

[コロケーション](可)define, definition(注意)定義する作業はdefining

▼高めに設定すると、リスク受容の件数が増える。一方、低めに設定すると、リスク受容の件数が減るため、高めのときと同じセキュリティを実現したい場合は、リスク保有の件数が増える。

▼国際規格である『ISO/SAE 21434』にはこの用語が登場しないが、法規である『UN-R155』を準拠するには定義が必須である。

▼『ISO/IEC 27000』は、リスク基準と和訳している。自動車業界では、法規のことを基準というため、和訳せずカタカナのまま用いるとよい。


― evaluation【リスク・評価ひょうか】(名・自サ)リスクアセスメントにおける最後の工程。リスク値を、あらかじめ設定しておいたリスククライテリアと比較すること。

▼この工程では、リスク値の算出はしない。評価という日本語には、価値を与えるニュアンスがあるため、誤解されやすい。

▼リスクマネジメントの国際規格は、方法論の影響を多分に受けており、実際の開発現場に即していないと思える用語や工程が登場する。リスク評価はその代表格といえる。


― identification【リスク・特定とくてい】(名・自サ)リスクアセスメントにおける最初の工程。リスク値を算出する候補を、もれなく書き出すこと。


― management【リスク・マネジメント】(名・他サ)リスクアセスメントとリスク対応をすること。また、その一連の経緯を記録すること。

▼マネジメントシステムにおいて根幹をなす用語。


― matrix【リスク・行列ぎょうれつ】(名)リスク値を計算するときに用いる二軸の表。

▼一般的には、インパクトを縦軸に、発生確率を横軸にする。『ISO/SAE 21434』では発生確率の指標として、攻撃実現可能性を用いる。


― treatment【リスク・対応たいおう】(名・自サ)リスク対応オプションを決定し、リスク対応計画の準備および実施をすること。↔risk assessment


― treatment option【リスク・対応たいおう・オプション】(名)リスク対応一つの攻撃経路に対し、複数のオプションを選択してもよい。

[コロケーション](可)determine

▼『ISO/SAE 21434』では、「リスクを回避すること」「リスクを低減すること」「リスクを共有すること」「リスクを保有すること」の四択が定義されている。

▼『ISO/IEC 27000』では、このほかに、「ある機会を追及するために、リスクをとる又は増加させること」「リスク源を除去すること」「起こりやすさを変えること」「結果を変えること」も例示されている。


― value【リスク・】(名)リスクマトリックスに、攻撃実現可能性とインパクトを入力することで得られる点数。

[コロケーション](可)determine

▼『ISO/SAE 21434』では、最小1から最大5までの値をとる。原理的には正の数ならどんな値をとってもよいはずであるが、人間が正しく認知や処理するには、多くとも5段階程度に抑えるのが妥当である。

▼『ISO 31000』や『ISO/IEC 27001』のリスクレベル(level of risk)という用語に慣れていると、リスク値という用語に違和感を感じることがある。リスクはゼロにならないが、値としてしまうと、ゼロでもよいように誤解を与えるためと推する。


road user【道路どうろ利用りようしゃ】(名)損害を被りえるすべての人(例:自車の乗員、対向車の乗員、車両の所有者、歩行者)。

  • Xで共有
  • Facebookで共有
  • はてなブックマークでブックマーク

作者を応援しよう!

ハートをクリックで、簡単に応援の気持ちを伝えられます。(ログインが必要です)

応援したユーザー

応援すると応援コメントも書けます

新規登録で充実の読書を

マイページ
読書の状況から作品を自動で分類して簡単に管理できる
小説の未読話数がひと目でわかり前回の続きから読める
フォローしたユーザーの活動を追える
通知
小説の更新や作者の新作の情報を受け取れる
閲覧履歴
以前読んだ小説が一覧で見つけやすい
新規ユーザー登録無料

アカウントをお持ちの方はログイン

カクヨムで可能な読書体験をくわしく知る