ISO/SAE 21434 脅威分析およびリスクアセスメント (TARA)

ISO/SAE 21434 TARA（脅威分析およびリスクアセスメント）は、国際規格「路上走行車－サイバーセキュリティエンジニアリング」で定義された中核的なリスク管理手法です。この方法論は、車両の電子電気（E/E）システムにおける潜在的なサイバー脅威を体系的に特定し、それがもたらすリスクを評価することを目的とします。そのプロセスは、資産の特定、影響度評価、脅威シナリオと攻撃パスの分析、攻撃の実現可能性評価、そして最終的なリスクレベルの決定を含みます。TARAの成果は「サイバーセキュリティ目標」を定義するための基礎となり、UNECE R155などの法規要件を満たし、車両の型式認証を取得するための前提条件となるため、自動車産業のリスク管理において不可欠な要素です。

企業がISO/SAE 21434 TARAを実務で適用する際は、通常、以下の3つの主要ステップを踏みます。1. **アイテム定義と資産特定**：まず、分析対象となるアイテム（例：インフォテインメントシステム）を定義し、その中の重要な資産（ECU、データバス等）を特定します。2. **影響度評価と脅威分析**：資産が侵害された場合の安全性、プライバシー、運用、財務への影響度を評価します。次に、STRIDEなどの脅威モデルを用いて脅威シナリオを特定し、攻撃者が利用しうる攻撃パスを分析します。3. **実現可能性評価とリスク決定**：各攻撃パスについて、攻撃に必要な時間、専門知識、設備などに基づき実現可能性を評価します。最終的に、影響度と実現可能性をリスクマトリクスに当てはめ、リスクレベルを決定します。許容できないリスクに対しては、具体的なサイバーセキュリティ目標と要件を設定し、適切なセキュリティ対策を講じます。

台湾の自動車サプライチェーン企業がTARAを導入する際には、主に3つの課題に直面します。1. **分野横断的な専門人材の不足**：TARA分析には自動車工学とサイバーセキュリティの両方の深い知識が必要ですが、このような複合的なスキルを持つ人材は限られています。2. **サプライチェーン連携の複雑さ**：OEMと各Tierサプライヤー間でのサイバーセキュリティ責任の分界が難しく、TARAレポートの形式や詳細度が異なるため、情報統合が困難です。3. **体系的なツールの欠如**：多くの企業が手作業のExcelシートに依存しており、非効率で間違いやすく、規格が要求するトレーサビリティを確保することが困難です。**対策**として、部門横断チームを編成し、プロジェクト初期に「サイバーセキュリティインターフェース合意書（CIA）」を締結し、専門的なTARA管理ツールを導入することが、これらの課題を克服する鍵となります。

積穗科研は台湾企業のISO/SAE 21434 TARAに特化し、100社以上の支援実績を持ち、90日以内に国際標準の管理体制構築を支援します。無料診断申込：https://winners.com.tw/contact