攻撃実現性

「攻撃実現性」（Attack Feasibility）とは、攻撃者が特定の攻撃経路を悪用して脅威シナリオを成功させるために必要なリソースや能力を測る指標であり、攻撃の難易度を評価するものです。この概念は、自動車サイバーセキュリティ規格ISO/SAE 21434の第15章「脅威分析及びリスクアセスメント」（TARA）で明確に定義されています。攻撃の発生「確率」を予測するのではなく、その「実現しやすさ」を分析します。規格の附属書Hでは、評価要因として①経過時間、②専門知識、③アイテムに関する知識、④機会の窓、⑤設備、の5つが挙げられています。これらの要因を総合的に評価し、実現性のレベル（例：非常に低い、低い、中、高い）を決定し、インパクト評価と組み合わせて最終的なリスク値を算出するための重要な入力情報となります。

企業のリスク管理において、攻撃実現性はTARAプロセスを通じて段階的に適用されます。ステップ1：脅威シナリオの特定：まず、車両の重要な資産を特定し、サイバーセキュリティ目標を侵害する可能性のある脅威シナリオを定義します。ステップ2：攻撃パス分析と実現性評価：各シナリオについて、考えられる攻撃パスを分析し、ISO/SAE 21434が定める要因（時間、専門知識など）に基づいて各パスの実現性を評価・格付けします。ステップ3：リスク決定と優先順位付け：算出された実現性の格付けと、脅威が成功した場合のインパクト（安全性への影響など）をリスクマトリックスで組み合わせ、全体的なリスクレベルを決定します。これにより、企業は最も現実的な脅威にリソースを集中させ、効果的なセキュリティ対策を講じることができ、製品の安全性を確保し、規制遵守を達成します。

台湾の自動車関連企業が攻撃実現性の評価を導入する際には、特有の課題に直面します。1. 専門知識とデータの不足：多くの中小企業では、サイバーセキュリティの専門家や過去の攻撃データが不足しており、評価が主観的になりがちです。対策として、外部コンサルタントの活用や業界団体との連携による知見共有が有効です。2. 開発スケジュールへの圧力：詳細な分析は時間を要し、厳しい開発スケジュールと衝突する可能性があります。開発プロセスの早期段階でTARAを統合する「シフトレフト」のアプローチが解決策となります。3. サプライチェーン連携の困難：複数のサプライヤーが関与する複雑な攻撃パスの評価は、情報共有がなければ困難です。サイバーセキュリティ契約を通じて、サプライヤーにTARA結果の提出を義務付けることが重要です。

積穗科研は台湾企業のattack feasibilityに特化し、100社以上の支援実績を持ち、90日以内に国際標準の管理体制構築を支援します。無料診断申込：https://winners.com.tw/contact