★自動車向けのセキュリティ対策に必要な基礎から対応ノウハウまで、

１日でわかりやすく解説します。

自動車サイバーセキュリティ対策マスター講座

≪規制動向・全体像からISO/SAE 21434 の把握・適用方法、リスクアセスメントまで≫

【提携セミナー】

主催：株式会社情報機構

2021年1月に自動車のサイバーセキュリティ法規“UN-R155”が発行され、これから型式登録がされる新型車に対して、サイバーセキュリティ対策の義務化が始まっています。

そして、2026年5月以降には、現在販売されている継続生産車に対しても、サイバーセキュリティ対策が義務化されていきます。そのため、これまでは対象外だった車両／車載部品に対しても、サイバーセキュリティ対策の義務化の波が押し寄せています。

UN-R155サイバーセキュリティ法規を満たすためには、法規と平行して策定され、2021年8月に発行された自動車サイバーセキュリティ規格“ISO/SAE 21434”の準拠が必要です。そのため、対応のためには“ISO/SAE 21434”の規格内容を曖昧でなく、正しく理解しておくことが非常に重要になってきます。

本セミナーでは、まず自動車に対するハッキング事例を通じて自動車に迫る脅威を認識した後に、UN-R155法規の策定背景と具体的な要求事項を解説します。

その後、受講者の方にISO/SAE 21434の全体概要を掴んで頂くために、[１]サイバーセキュリティマネジメント（組織＆仕組み）の構築方法、[２]サイバーセキュリティリスクアセスメントの考え方、[３]製品開発プロセス（設計／実装／評価）の概要、[４]製品開発からSIRT活動を通じた脆弱性の管理方法について解説を行います。

また、本講座では、ISO/SAE 21434の中でも、脅威分析／脆弱性分析等、特に理解が難しいサイバーセキュリティリスクアセスメントの内容を、脅威分析からセキュリティ対策導出までの流れに沿って、独自の解釈／解説と具体事例をふまえ詳しく解説します。

なお、本講座は現役の組込みエンジニアが講師を行います。規格や仕様に関する知識だけでなく実際の開発体験を交えて、自動車向けのセキュリティ対策に必要な基礎からノウハウまで、１日で分かりやすくお伝えします。

◆受講後、習得できること

• UN-R155サイバーセキュリティ法規による規制の動向から、「何のために」、「いつまでに」、「誰が」、「どのような」取り組みが必要かを学ぶことができます。
• ISO/SAE 21434 におけるサイバーセキュリティマネジメントの概要を理解し、法規適用開始までに構築が必要な組織や、整備が必要な仕組み（受発注時の責任分担の合意や、市販品／OSS利用時の注意事項、各種ツールの管理方法など）を学ぶことができます。
• ISO/SAE 21434におけるサイバーセキュリティリスクアセスメントの考え方を理解し、製品に対して考えられる想定脅威と、それを防ぐためのセキュリティ対策の導出ができるようになります。
  ※UN-R155サイバーセキュリティ法規のAnnexに記載されている想定脅威／セキュリティ対策の一覧を題材とした「リスクアセスメントの具体事例」を紹介します。
• ISO/SAE 21434 における製品開発プロセス（設計／実装／評価）で実施すべき活動を理解し、自社の開発プロセスとのギャップを分析することができるようになります。
• ISO/SAE 21434 における開発後（製品製造／運用）フェーズで実施すべき活動を理解し、開発後フェーズに「適切なセキュリティ要求」を渡すことができるようになります。
• ISO/SAE 21434におけるSIRT（Security Incident Response Team）活動を理解し、製品の開発から運用フェーズまでを通じた脆弱性情報の管理方法を学ぶことができます。
  また、万が一インシデントが発生してしまった場合に実施すべきことも合わせて紹介します。

◆受講対象者

• OEM／サプライヤで、自動車のセキュリティ対策の導入を始める方
• サイバーセキュリティに関連する車載ECUの開発に携わっている方
• サイバーセキュリティ開発を始めてみたが、脅威分析や脆弱性分析の実施方法がわからず、困っている方
  など

担当講師

（株）アトリエ サイバーセキュリティアシュアランス事業部　事業部長　 杉山 歩 氏

＊ご略歴：
株式会社ヴィッツにて自動車向けのRTOSを専門とした開発活動に10年間従事。その中で、名古屋大学との共同研究にて次世代車載向けRTOSの開発に携わった。その後、機能安全対応RTOSの開発に伴い、TUVのアセスメントも経験している。2012年より組み込みセキュリティの研究業務に従事し、セキュリティ対応のRTOS開発のプロジェクトリーダを務めた。その経験を活かし、自動車関連企業に対するサイバーセキュリティに関する開発支援を実施した。
現在は、ヴィッツの子会社である株式会社アトリエに籍を移し、サイバーセキュリティに関するコンサルティング業務を実施している。

＊ご専門および得意な分野・研究：
・機能安全／サイバーセキュリティ向けのコンセプト開発
（車両レベルの要件定義の実施）
・機能安全／サイバーセキュリティ向けECUアーキテクチャ設計
（HW/SWの両方を考慮したシステムアーキテクチャの設計と要件定義の実施）
・機能安全(ISO 26262)対応のソフトウェア開発
・セキュリティ対応(ISO/IEC 21434)対応のソフトウェア開発
・自動車向けRTOSや通信スタックの開発

セミナープログラム（予定）

1. UN-R155サイバーセキュリティ法規およびISO/SAE 21434の動向と基礎知識
1-1.UN-R155サイバーセキュリティ法規の動向
1-1-1.自動車に対するハッキング事例
1-1-2.自動車業界のサイバーセキュリティ対策動向
1-1-3.サイバーセキュリティ法規の概要と適用計画
1-1-4.サイバーセキュリティ法規に不適合となった場合の影響
1-2.UN-R155サイバーセキュリティ法規の概要
1-2-1.CSMS (Cyber Security Management System) 適合確認とは？
1-2-2.法規適合に向けて整備が必要なセキュリティプロセスの全体像
1-2-3.セキュリティリスクの特定とリスクが低減できたことの説明性
1-2-4.サプライチェーン全体に対するセキュリティプロセスの適用
1-2-5.車両の生産／運用フェーズにおけるSIRT活動の実施
1-3.UN-R155サイバーセキュリティ法規とISO/SAE 21434の対応関係
1-3-1.ISO/SAE 21434の全体構成
1-3-2.UN-R155とISO/SAE 21434との対応関係

2.ISO/SAE 21434に基づくサイバーセキュリティ対策の実施方法
2-1.サイバーセキュリティマネジメントの構築方法
2-1-1.サイバーセキュリティガバナンスの構築と監査
2-1-2.製品の開発計画とサイバーセキュリティアセスメント
2-1-3.CIA（Cybersecurity Interface Agreement）の締結
2-1-4.SIRT（Security Incident Response Team）の構築と運用
2-2.サイバーセキュリティリスクアセスメントの考え方
2-2-1.脅威分析の準備（前提条件とアイテムの定義）
2-2-2.脅威分析の実施（トップダウンアプローチとボトムアップアプローチ）
2-2-3.リスクアセスメントの方法（攻撃の影響度／攻撃可能性の評価）
2-2-4.リスクへの対処方法（リスクの低減／共有／保持／回避）
2-2-5.サイバーセキュリティゴール／サイバーセキュリティクレームの定義
2-3.製品開発プロセス（設計／実装／評価）の概要
2-3-1.サイバーセキュリティ要求を実現するための対策技術
2-3-2.システムアーキテクチャ設計に対する脆弱性分析
2-3-3.HW／SWアーキテクチャ設計に対する脆弱性分析
2-3-4.脆弱性分析で特定した脆弱性へのセキュリティ対策の追加
2-3-5.サイバーセキュリティ対策の評価（機能評価／脆弱性評価）
2-4.製品開発からSIRT活動を通じた脆弱性の管理方法
2-4-1.脆弱性分析／脆弱性評価で特定した脆弱性情報の管理（収集）
2-4-2.特定した脆弱性情報の設計／評価工程へフィードバック
2-4-3.特定した脆弱性情報のSIRT活動へのフィードフォワード
2-4-4.SIRT活動で特定した脆弱性のリスクアセスメント方法

3. 脅威分析／脆弱性分析およびリスクアセスメント事例の解説
3-1.UN-R155 サイバーセキュリティ法規 Annex.5 の解説
3-1-1.UN-R155 サイバーセキュリティ法規における想定脅威（Annex.5 Table-A）
3-1-2.想定脅威を防ぐためのサイバーセキュリティ対策（Annex.5 Table-B, C）
3-2.脅威分析／脆弱性分析事例の解説
3-2-1.コンセプトフェーズにおける脅威分析（Attack Tree Analysis）の実施事例
3-2-2.製品開発フェーズにおける脆弱性分析（STRIDE）の実施事例
3-3.コンセプトフェーズにおけるリスクアセスメント事例
3-3-1.サイバーセキュリティリスクアセスメントの目的（コンセプトフェーズ）
3-3-2.脅威分析結果に対するリスクアセスメントの事例
3-3-3.脅威シナリオを防ぐためのセキュリティ対策の事例
3-4.製品開発フェーズにおけるリスクアセスメント事例
3-4-1.サイバーセキュリティリスクアセスメントの目的（製品開発フェーズ）
3-4-2.脆弱性分析結果に対するリスクアセスメントの事例
3-4-3.特定した脆弱性を塞ぐためのセキュリティ対策の事例

　＜質疑応答＞

公開セミナーの次回開催予定

開催日

未定

開催場所

未定

受講料

未定

※学校法人割引；学生、教員のご参加は受講料50％割引

●録音・撮影行為は固くお断り致します。

オンライン配信のご案内

★　Zoomによるオンライン配信

については、こちらをご参照ください

備考

※配布資料等について

●配布資料はPDF等のデータで配布致します。ダウンロード方法等はメールでご案内致します。

• 配布資料に関するご案内は、開催1週前～前日を目安にご連絡致します。
  
• 準備の都合上、開催1営業日前の12:00までにお申し込みをお願い致します。
  （土、日、祝日は営業日としてカウント致しません。）
• セミナー資料の再配布は対応できかねます。必ず期限内にダウンロードください。

●当日、可能な範囲でご質問にお答えします。（全ての質問にお答えできない可能性もございます。何卒ご了承ください。）
●本講座で使用する資料や配信動画は著作物であり、無断での録音・録画・複写・転載・配布・上映・販売などは禁止致します。

お申し込み方法

★下のセミナー参加申込ボタンより、必要事項をご記入の上お申し込みください。

★【オンラインセミナー（見逃し視聴なし）】、【オンラインセミナー（見逃し視聴あり）】のいずれかから、ご希望される受講形態をメッセージ欄に明記してください。