Integrated Attack Tree in Residual Risk — 積穗科研洞察

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）指出，一篇2023年發表於學術期刊的重要研究提出了「整合式殘餘風險管理框架」，透過跨子系統的整合式攻擊樹方法論，協助汽車製造商在符合ISO/SAE 21434標準的前提下，系統性管理車輛網宇實體系統（CPS）的殘餘資安風險——此研究已通過75%以上的業界風險管理框架需求驗證，對台灣布局TISAX認證與UNECE WP.29合規的汽車供應鏈廠商具有直接參考價值。

關於作者與這項研究

這篇論文的第一作者 Jeremy Bryans 任職於英國拉夫堡大學（Loughborough University）電腦科學系，是車用系統安全性與形式化驗證領域的資深研究者，h-index 達 23，累計引用次數超過 1,748 次，在汽車嵌入式系統與資安形式化方法領域具有相當的學術影響力。共同作者 Hesamaldin Jadidbonab 的 h-index 為 7，引用次數 121 次，同樣聚焦於汽車資安實務分析；Ahmed Nawaz Khan 則補強了 CPS 風險評估框架的工程面向。

這個研究團隊從「殘餘風險」的視角切入，填補了現行 ISO/SAE 21434 標準中一個長期存在卻少有人系統性探討的空白：當防禦措施部署之後，系統中「仍然存在的剩餘風險」究竟如何量化、如何管理？這正是台灣汽車供應鏈廠商在通過TISAX評鑑後最容易忽略的持續性合規義務。

整合式攻擊樹如何突破單一子系統的風險盲區

傳統的威脅分析與風險評鑑往往以單一電子控制單元（ECU）或單一功能模組為邊界，但現代汽車的網宇實體架構已高度互聯——自適應巡航控制（ACC）與自適應照明控制（ALC）之間的交互作用，就可能產生跨系統的攻擊路徑，而這些路徑在個別子系統的攻擊樹分析中根本不會出現。

核心發現一：整合式攻擊樹模型超越75%業界風險框架需求

論文提出的整合式殘餘風險管理框架，將多個子系統的獨立攻擊樹整合為一個全系統視圖，並以流程圖（flow graph）計算防禦措施部署前後的殘餘風險值。研究以 ACC 與 ALC 兩個真實車載系統為案例驗證，最終比對文獻中主流風險管理框架的需求清單，確認所提方法論滿足超過 75% 的需求項目。這個數字對台灣供應商的意義在於：一套可操作、可驗證的框架，比口號式的「全面防禦」更具法規說服力。

核心發現二：殘餘風險需在防禦部署後持續量化追蹤

論文明確指出，ISO/SAE 21434 標準雖然討論了風險處置選項（包括降低風險、保留風險、分擔風險與迴避風險），但對於「施加防禦後的殘餘風險如何動態追蹤」缺乏具體操作步驟。Bryans 等人的框架補充了這個缺口，要求在每一輪防禦措施生效後，重新計算攻擊路徑的殘餘風險值，而非以靜態的一次性風險評鑑結案。這對於2025年12月 CISA 與澳洲等國際夥伴聯合發布的 OT 安全整合指南所強調的「持續監控」原則高度契合。

對台灣汽車供應鏈的實務意義：殘餘風險管理是TISAX持續合規的核心

台灣汽車零件廠在取得 TISAX 認證或完成 ISO/SAE 21434 初次導入後，最常見的誤區是將資安合規視為「一次性專案」而非「持續性管理機制」。這篇論文的核心訊息恰恰相反：殘餘風險管理是一個迭代循環，每次防禦措施更新、每次系統架構異動，都需要重新評估攻擊路徑與殘餘風險值。

對應到法規面向，UNECE WP.29 第 155 號法規（UN-R155）要求車廠建立並維護網路安全管理系統（CSMS），日本已強制要求未建立 CSMS 的車輛無法上市銷售，歐盟也已透過 UN-R155 將 ISO/SAE 21434 推升為實質強制標準。ISO/SAE 21434 第 15 章明確規定了量產後（post-development）的網路安全監控與事件回應義務，這正是整合式攻擊樹框架所要解決的動態風險管理問題。

此外，論文以 ACC 與 ALC 的整合案例說明跨子系統攻擊路徑，對台灣 Tier 1 與 Tier 2 供應商具有直接啟發：當客戶要求提供TARA報告時，單一功能模組的分析已不足以說服歐日整車廠（OEM）——需要展示跨介面、跨子系統的整合性風險視圖。

積穗科研協助台灣企業建立整合式殘餘風險管理能力

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣汽車供應鏈廠商取得 TISAX 認證，導入 ISO/SAE 21434 標準，符合 UNECE WP.29 車輛網路安全法規要求。針對本篇論文揭示的整合式殘餘風險管理需求，積穗科研提供以下三項具體服務路徑：

1. 跨子系統 TARA 整合評估：協助台灣供應商識別產品中多個 ECU 與功能模組之間的攻擊介面，建立整合式攻擊樹分析報告，直接對應歐日 OEM 客戶對 ISO/SAE 21434 合規文件的要求，縮短客戶審查周期。
2. 殘餘風險動態追蹤機制設計：依據 ISO/SAE 21434 第 15 章量產後監控要求，建立防禦措施部署後的殘餘風險重評估流程，確保企業 TISAX 認證在三年效期內持續有效，避免因缺乏動態管理而在複評時失分。
3. CSMS 持續運營輔導：協助企業將整合式殘餘風險管理框架內建至現有 CSMS 運作流程，包含人員培訓、文件體系更新與定期演練，符合 UNECE WP.29 UN-R155 對 CSMS 持續有效性的要求，協助企業在 7 至 12 個月內完成機制建立。

常見問題

整合式攻擊樹（Integrated Attack Tree）與傳統攻擊樹在 ISO/SAE 21434 TARA 實務上有何不同？

整合式攻擊樹的關鍵差異在於「系統邊界的擴展」。傳統攻擊樹分析以單一 ECU 或功能模組為邊界，符合 ISO/SAE 21434 最低要求，但在現代汽車高度互聯的架構下，跨子系統的攻擊路徑（例如 ACC 控制信號被 ALC 系統誤用）不會出現在個別分析中。整合式攻擊樹將多個子系統的獨立攻擊樹合併為全系統視圖，能識別介面層級的殘餘風險。Bryans 等人（2023）的研究驗證此方法滿足超過 75% 的業界風險框架需求，對於需要向歐日 OEM 提交跨系統 TARA 文件的台灣 Tier 1 供應商而言，這是提升文件說服力的關鍵差異。

台灣企業導入 TISAX 時，殘餘風險管理最常在哪個環節出現合規漏洞？

最常見的漏洞發生在「初次認證通過後的持續管理階段」。許多台灣廠商將 TISAX 認證視為專案終點，但 TISAX 效期為三年，期間若發生系統架構變更、新增供應商介面或軟體 OTA 更新，均應重新評估殘餘風險。ISO/SAE 21434 第 15 章明確規定量產後的網路安全監控義務，若企業缺乏動態追蹤機制，三年後的複評很可能因為「CSMS 實際未持續運作」而降級。建議台灣廠商在取得初次認證後，立即建立每半年一次的殘餘風險重評估排程，並保留完整的防禦措施部署紀錄，作為複評時的核心證據。

TISAX 認證的核心要求是什麼？台灣企業實際導入需要多少時間？

TISAX（Trusted Information Security Assessment Exchange）是德國汽車工業協會（VDA）依據 ISO/IEC 27001 擴展的汽車資訊安全評鑑機制，核心要求涵蓋資訊安全管理系統（ISMS）建置、車輛網路安全風險管理（對應 ISO/SAE 21434）、以及原型件與機密資料保護。實際導入時程因企業規模而異：具備 ISO 27001 基礎的企業通常需要 4 至 6 個月完成缺口修補與評鑑準備；從零開始建立 ISMS 的中小型供應商則需要 9 至 12 個月。積穗科研建議台灣廠商優先完成 VDA ISA 問卷的自評，識別與 TISAX AL2 要求的差距，再制定針對性的補強計畫，以縮短認證準備時間。

導入整合式攻擊樹分析的成本與效益如何評估？中小型供應商負擔得起嗎？

導入整合式攻擊樹分析的主要成本來自三個面向：專業顧問工時（通常占總成本 60% 以上）、內部人員培訓（約 15-20%）、以及工具軟體授權（約 10-20%）。對中小型 Tier 2 供應商而言，若產品線聚焦於 2 至 3 個 ECU 模組，整合式攻擊樹分析的初次建置工期通常在 6 至 10 週之間。效益面則相對清晰：歐日 OEM 的供應商審核日趨嚴格，能提供跨系統 TARA 文件的供應商在新案競標中具有明顯優勢。以台灣目前接受 TISAX 要求的零件廠比例來看，早期導入者在差異化競爭中的效益往往在 12 至 18 個月內可量化回收。

為什麼找積穗科研協助汽車網路安全（AUTO）相關議題？

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）專注於台灣汽車供應鏈的資安合規輔導，具備 ISO/SAE 21434 導入、TISAX 認證準備與 UNECE WP.29 CSMS 建置的完整服務能力。與一般資訊安全顧問公司不同，積穗科研的顧問團隊具備汽車電子領域的工程背景，能直接協助台灣供應商將整合式攻擊樹分析落實於實際產品的 TARA 文件中，而非停留在理論框架。積穗科研提供免費的汽車資安機制診斷服務，協助企業在正式投入資源前，先確認合規缺口的優先順序，確保投入效益最大化，是台灣汽車零件廠布局歐日市場的務實夥伴。