サイバーセキュリティを意識した SoC 開発のための ISO 21434 - Semiwiki

自動車業界は目覚ましい変革を遂げており、車両の接続化、自動化が進み、ソフトウェアへの依存が高まっています。これらの進歩は消費者に利便性、快適さ、効率性を約束しますが、テクノロジーの性質と複雑さにより、機能安全とセキュリティに対する懸念も生じます。 ISO 26262 規格は、自動車業界における機能安全への体系的なアプローチを確保するために確立されました。この規格は、コンセプト、設計、実装、生産、運用、保守、廃止を含む製品開発ライフサイクル全体を通じて機能安全を管理するための包括的なフレームワークを提供します。電子システムが意図したとおりに機能し、障害やエラーが存在する場合でも安全性を維持することを保証するための、危険分析、リスク評価、安全目標、安全メカニズム、検証および検証プロセスに関するガイダンスを提供します。

ISO 26262 規格は、故障や障害による安全性への影響に対処しています。サイバーセキュリティなどの要因への対処についてはどうですか? 自動車分野におけるエレクトロニクスの採用の急増により、それに対応してサイバーセキュリティの脅威の状況も拡大しています。車両の接続性が高まり、ソフトウェア主導の機能に依存するようになるにつれて、攻撃対象領域が大幅に拡大します。この技術の進歩とリスクの融合は、サイバーセキュリティを意識した開発実践の極めて重要性を強調しています。道路車両はコンポーネントと外部システム間の通信に大きく依存しているため、さまざまなサイバーリスクの影響を受けやすくなっています。無線 (OTA) ソフトウェア更新により、サイバーセキュリティのリスクが大幅に増加します。ハッカーはセンサーデータを操作したり、車両制御システムを侵害したり、機密の個人情報に不正にアクセスしたりする可能性があります。 ISO/SAE 21434 道路車両 - サイバーセキュリティエンジニアリング規格は、道路車両に対するサイバー脅威によってもたらされるセキュリティ上の課題に対処するために確立されました。

シノプシスが最近出版したホワイトペーパー ISO 21434 に基づいた、サイバーセキュリティを意識した SoC 開発のベストプラクティスを詳しく掘り下げています。自動車関連製品およびシステムの開発および生産後のサポートに携わるすべての人にとって、このホワイトペーパーは非常に有益であると思われるでしょう。以下にいくつかの抜粋を示します。

ISO 21434 の重要な側面

ISO 21434 標準は、SoC などのコンポーネントを含む自動車製品の開発全体を通じてサイバーセキュリティリスクを特定、評価、軽減するための構造化されたアプローチを提供します。この包括的なフレームワークは、ISO 26262 の同様の原則に基づいて構築されており、サイバーセキュリティの側面に対応しています。これら 26262 つの標準間の調整により、サイバーセキュリティ実践の統合が合理化されるだけでなく、共通の語彙も確立され、すでに ISO XNUMX に準拠している組織のシームレスな適応が保証されます。

組織の責任

ISO 21434 は、製品開発のさまざまな段階にわたる役割と責任を明確にすることにより、ISO 26262 の足跡をたどっています。これには、経営陣のコミットメント、サプライヤーとサプライチェーンエンティティ間の標準化された役割の確立、製品ライフサイクル内の個別のフェーズの作成、およびハザード分析とリスクに相当する脅威分析とリスク評価（TARA）プロセスの策定が含まれます。 ISO 26262の評価(HARA)。

サイバーセキュリティのリスク評価と管理

サイバーセキュリティは、製品の導入時の製品固有のリスクと脆弱性を徹底的に評価するかどうかにかかっています。 21434 つの重要な要素によってサイバーセキュリティリスクの重大度が決まり、情報に基づいたアプローチでリスクを軽減できるようになります。これら XNUMX つの重要な要素は、脅威シナリオ、影響、攻撃ベクトル、攻撃の実現可能性です。これらの要因を総合して潜在的な危害を決定し、リスクの影響と介入の必要性を構造的に評価できるようにします。本質的に、脅威シナリオとその影響は潜在的な損害をゲージし、攻撃ベクトル要素は攻撃がどのように実行されるかをマッピングし、実現可能性要素は攻撃の実行の容易さを評価します。 ISO XNUMX は、これら XNUMX つの要素からリスクスコアを計算する手法を提供し、サイバー攻撃に対する積極的な姿勢を育むための構造化されたアプローチを明らかにしています。

デザインによるセキュリティ

サイバーセキュリティに対処するために Microsoft が推進するセキュア開発ライフサイクル (SDL) プロセスは、実稼働開発のあらゆる側面に浸透しています。 SDL は、潜在的な脆弱性から製品を保護するために、設計段階で多くの対策を調整します。このフェーズの中心には、チームが訓練されてきた安全な実践の統合を確認する具体的な証拠を生成するという使命があります。この証拠には、セキュリティ設計のレビューや検証計画の評価からプライバシー設計のレビューに至るまで、幅広いレビューと指標が含まれます。 Synopsys Coverity や Black Duck などのツールは重要な役割を果たし、コードカバレッジと構成分析レポートを生成します。これらのレポートは、サードパーティコンポーネントの脆弱性にフラグを立てながら、コードベースの成熟度を評価するのに役立ちます。

コラボレーションとコミュニケーション

今日の製品開発の相互接続された世界では、サイバーセキュリティを単独で運用することはできません。協力的なアプローチは不可欠であり、サプライチェーン内のすべてのリンク間での一貫したサイバーセキュリティを意識したハンドシェイクが必要となります。協力的な考え方が開発サイクルを導き、サプライチェーンエンティティ間での継続的なサイバーセキュリティ情報の流れが必要になります。

サプライチェーンにおけるサイバーセキュリティ協定

サプライチェーンにおけるサイバーセキュリティ協定

継続的な監視と更新

製品を継続的に監視して既知の脆弱性を特定し、更新することで、製品のリリースから廃止までサイバーセキュリティを確保します。リリース後のサポートは、SDL の継続的な取り組みの焦点です。これにより、生産後のセキュリティ管理の要件の仕様が義務付けられます。この細心の注意を払った準備により、製品は運用環境とサプライチェーンの複雑さを乗り越えることができます。

まとめ

道路車両へのエレクトロニクス導入の急増とサイバー攻撃の脅威の状況の進化を考慮して、顧客はサイバーセキュリティの保証を求めています。サイバーセキュリティは、半導体 SoC から始まる自動車サプライチェーンのあらゆるレベルに影響を与えます。部品サプライヤーにとって、標準化されたサイバーセキュリティの原則とプロセスを採用することは、ダイナミックな自動車市場で競争力を維持するための戦略的必須事項となります。これらの進化する業界標準を遵守することで、サプライヤーは増大するサイバーセキュリティの懸念に対処できるだけでなく、堅牢なサイバーセキュリティ保証に対する顧客の高まる期待にも応えることができます。

複雑な SoC の開発中に、構造化された ISO 21434 開発プラットフォームを備えた IP サプライヤーと提携することで、サイバーセキュリティのリスクを最小限に抑え、最高レベルの成功を保証します。シノプシスは、ISO 21434 標準に従って IP 製品を開発し、標準で公布されているサイバーセキュリティポリシー、プロセス、および手順に厳密に従います。同社は、組織のあらゆるレベルにサイバーセキュリティチームを配置しています。

サイバーセキュリティのポリシー、プロセス、手順