例年ならこの季節は、暑い、暑いと言いながら半袖姿で活動しているのですが、今年はどうやらいつもとは異なり、朝夕はめっきり涼しくなりました。昼間でも30℃以上になることは少なく、快適な日々が過ごせるようです。緊急事態宣言も9月末まで延長ということになったようですが、言葉だけが先行し、中身が抜けてしまっているような気がしてなりません。
さて、先月末にIS版として発行されたISO/SAE 21434:2021「Road vehicles – Cybersecurity engineering」規格。自動車もいよいよここまでのセキュリティを要求されるようになるとは誰もが想像すらしなかったことかもしれません。この規格の構成は下図のようになっており、結構なボリュームのある内容になっているようです。
規格の構成概要としては4項〜15項となっていてそれぞれ下記のような内容が含まれています(あくまで参考です。詳細については規格を参照下さい)。
・4項
(一般的な考慮事項)は、情報提供であり、このドキュメントで採用されている道路車両のサイバーセキュリティエンジニアリングへのアプローチのコンテキストと展望が含まれています。
・5項
(組織のサイバーセキュリティ管理)には、サイバーセキュリティ管理と、組織のサイバーセキュリティポリシー、ルール、およびプロセスの仕様が含まれます。
・6項
(プロジェクトに依存するサイバーセキュリティ管理)には、プロジェクトレベルでのサイバーセキュリティ管理とサイバーセキュリティ活動が含まれます。
・7項
(分散型サイバーセキュリティ活動)には、顧客とサプライヤーの間でサイバーセキュリティ活動の責任を割り当てるための要件が含まれています。
・8項
(継続的なサイバーセキュリティ活動)には、継続的なリスク評価のための情報を提供し、サイバーセキュリティサポートが終了するまでのE / Eシステムの脆弱性管理を定義する活動が含まれます。
・9項
(概念)には、アイテムのサイバーセキュリティリスク、サイバーセキュリティ目標、およびサイバーセキュリティ要件を決定するアクティビティが含まれています。
・10項
(製品開発)には、サイバーセキュリティ仕様を定義し、サイバーセキュリティ要件を実装および検証するアクティビティが含まれています。
・11項
(サイバーセキュリティ検証)には、車両レベルでのアイテムのサイバーセキュリティ検証が含まれます。
・12項
(生産)には、アイテムまたはコンポーネントの製造および組み立てのサイバーセキュリティ関連の側面が含まれます。
・13項
(運用および保守)には、サイバーセキュリティインシデントへの対応およびアイテムまたはコンポーネントの更新に関連するアクティビティが含まれます。
・14項
(サイバーセキュリティのサポートの終了と廃止)には、アイテムまたはコンポーネントのサポートの終了と廃止に関するサイバーセキュリティの考慮事項が含まれています。
・15項
(脅威分析およびリスク評価方法)には、処置を追求できるようにサイバーセキュリティリスクの範囲を決定するための分析および評価のためのモジュール式の方法が含まれています。
この規格がOEMに適用されるのは当然のこととして、そのサプライチェーンの何処まで影響を受けることになるのでしょう。
余談ですが、セキュリティ関連規格において、最近ネットでよく見かける「ISO 27001」という記載。これは正式には「ISO/IEC 27001」であり、決してISO 27001ではありません。手抜きなのか、それともご存知無いのかは不明ですが、CBのHPでも正確な規格名称が記載されていないのを見掛けることがあります。
