攻撃実現性レベル

「攻撃実現性レベル」とは、攻撃者が特定の攻撃を成功させることの難易度を定量的に評価する指標です。この概念は、自動車サイバーセキュリティの国際標準ISO/SAE 21434で定義されており、脅威分析とリスクアセスメント（TARA）の中核をなします。評価には、攻撃に必要な「経過時間」「専門知識」「対象アイテムの知識」「機会の窓」「装備」などの要因が考慮されます。これは攻撃成功後の損害を評価する「影響度レベル」とは異なり、攻撃が発生する可能性に焦点を当てることで、包括的なリスク評価を可能にします。

実務では、まずSTRIDEなどの手法を用いて脅威シナリオを特定します。次に、各シナリオに対してISO/SAE 21434が定める「経過時間」や「専門知識」などのパラメータを評価し、攻撃の難易度を判断します。例えば、物理的なアクセスと特殊な機器を要する攻撃は実現性が低いと評価されます。算出された実現性レベルを「影響度レベル」と組み合わせ、リスクマトリックス上で脅威をマッピングすることで、対策すべき高リスク項目を客観的に特定します。これにより、セキュリティ目標と対策の優先順位付けが論理的に行え、開発リソースを効率的に配分できます。

台湾のサプライヤーが直面する主な課題は3つです。第一に、自動車とサイバーセキュリティの双方に精通した専門人材の不足。第二に、客観的な脅威データが不足しているため、実現性の評価が主観的になりがちな点。第三に、OEMとの機密保持契約により、評価に必要なシステム情報を完全には入手できないことです。これらの課題に対し、解決策として、専門コンサルタントによる体系的な研修の実施、自動車分野に特化した脅威インテリジェンスの導入、そしてプロジェクト開始時に顧客とサイバーセキュリティインターフェース契約を締結し、情報共有の範囲を明確化することが有効です。

積穗科研は台湾企業のattack feasibility levelに特化し、100社以上の支援実績を持ち、90日以内に国際標準の管理体制構築を支援します。無料診断申込：https://winners.com.tw/contact