Security AutoDesignerは、何十件もの自動車TARAプロジェクトで培った長年の経験、包括的な脅威データベース、最先端のAI技術を活用し、OEMとTier-1サプライヤーが車両とECUを保護し、ISO 21434とUNR 155に準拠するための詳細な脅威分析とリスク評価レポートを自動的に作成できるようにします。
UN R155やISO/SAE 21434などの自動車向けの規制や国際規格では、脅威分析とリスク評価が義務付けられています。これは手作業で時間のかかる作業であり、幅広いサイバーセキュリティの知識が必要とされます。効率的かつ正確に行わなければ、サイバーセキュリティの状況や自動車およびその部品の市場投入までの期間に大きな影響を与える可能性があります。
UNR 155やISO/SAE 21434などのサイバーセキュリティ規制・標準の対象となる車両およびコンポーネント向け
自動車OEMおよびTier-1とのTARAプロジェクトの知見
プラクシディティ エックス・リサーチチームによる新たな自動車の脅威情報
ECUおよび車両デザインに基づいたTARAの自動化機能
PlaxidityX DevSecOpsの包括的なプラットフォームとの統合が可能
製品アーキテクチャの変更に基づく
車両レベルおよびコンポーネント(ECU)レベルのTARAの両方をサポート
一般的な要件管理ツールとの簡単な統合
非常に低いリスクから重大なリスクまで優先順位付けした100件以上もの自動車の脅威
自動車分野におけるTARA(脅威分析およびリスク評価)プロセスとは何ですか?
TARAは、車載システムに対するサイバーセキュリティの脅威を体系的に特定し、その発生可能性と影響度を評価したうえで、緩和策の優先順位を決定するための手法です。このプロセスでは、ISO/SAE 21434(自動車向けサイバーセキュリティの国際標準)に準拠した形式で、アセットの特定、脅威モデリング、攻撃経路の分析、リスクスコアリングなどが行われます。
TARA(脅威分析およびリスク評価)は1回行えば十分ですか?
いいえ、TARAは一度きりの作業ではありません。以下のような状況では繰り返し実施する必要があります。
自動車のサイバーセキュリティ規制や業界標準において、TARA(脅威分析およびリスク評価)は必須とされていますか?
はい。TARAは、車両型式認証の要件としてUNECE WP.29 R155規則で義務付けられています。また、ISO/SAE 21434という国際標準においても、TARAは重要な要件とされています。TARAを実施することで、車両のライフサイクル全体にわたるサイバーセキュリティリスク管理の義務を果たし、規制遵守(コンプライアンス)を確保することができます。
TARA(脅威分析およびリスク評価)はECUなどの車載コンポーネントに対して適用されますか?それとも車両全体に適用されるのですか?
TARAは、車載コンポーネントと車両全体の両方に対して適用されます。車両レベルでは、たとえばCANバス攻撃のようなシステム全体に関わるリスクを評価します。一方で、コンポーネントレベルでは、ECU(Electronic Control Unit)、センサー、通信インターフェースなど、個別の要素に対して行われます。
TARA(脅威分析およびリスク評価)に脆弱性管理を統合することはできますか?
はい。TARAに脆弱性情報、たとえばCVEやNVDのフィード(自動配信される新着の脆弱性情報)を統合することが可能です。これにより、TARAにおける実現可能性の評価やリスク対応の意思決定に直接的な影響を与えることができます。たとえば、PlaxidityX SW Supply Chain Securityのような自動化ツールを活用すれば、CVEなどで新たな脆弱性情報が発見された際に、TARA管理ツール(例:PlaxidityX Security AutoDesigner)と連携して動的にTARAを更新することができます。
TARA(脅威分析およびリスク評価)プロセスに自動化を導入する主なメリットは何ですか?
TARAプロセスに自動化を導入する主要なメリットには以下があげられます。
効率化:手作業による作業負担を60〜80%削減できます。
市場投入までの時間短縮:スケジュールの遅延を最小限に抑え、製品の市場展開を迅速に行うことができます。
一貫性の確保:脅威スコアリングにおける人為的なばらつきを排除できます。
リアルタイム対応:新たな脅威の出現に応じて、リスク評価を自動的に更新できます。
監査対応の強化:ISO/SAE 21434に準拠したレポートを自動生成できるため、コンプライアンス対応が容易になります。
Code Security Managerは、静的アプリケーション・セキュリティ・テスト(SAST)と動的アプリケーション・セキュリティ・テスト(DAST)を開発の初期段階に統合し、開発者が使いやすいようCI/CD統合とソースコード・サポートを提供することで、堅牢な量産前セキュリティを実現します。
SW Supply Chain Securityは、規制に準拠し、製品のセキュリティを確保するため、既知およびプライベート脆弱性について自動バイナリSBOMスキャンを実行します。
Security AutoTesterは、何百もの顧客プロジェクトに基づく自動車サイバーセキュリティに関するプラクシディティ エックスの広範な知見と専門知識を活用し、自動車OEMとサプライヤーの両方に対して、自動車ソフトウェア開発者がファジングテストやペネトレーションテストなどのエンタープライズレベルのセキュリティテストを実施することを可能にします。