セキュリティ関連性評価

国際標準ISO 21434「道路車両－サイバーセキュリティエンジニアリング」で定義される重要な初期ステップです。その主な目的は、車両内の「アイテム」（システム、コンポーネント等）がサイバーセキュリティに関連するかを体系的に判断することです。ISO 21434の箇条8.5に基づき、アイテムの接続性、データ処理能力、変更の可能性を分析します。結果が「関連性なし」の場合、脅威分析とリスクアセスメント（TARA）は不要です。SREはTARAに先立つフィルターとして機能し、「もし」リソースが必要かを問い、TARAは「どのように」リスクを管理するかに焦点を当てます。

実務では次の手順で導入されます。1. アイテム定義：評価対象システム（例：インフォテインメント）の機能、アーキテクチャ、全インターフェースを明確に定義します。2. 関連性基準分析：ISO 21434附属書Bに基づき、外部接続性、個人データ処理、ファームウェア更新の可否などを確認します。3. 決定と文書化：分析プロセス、根拠、最終判断をサイバーセキュリティケースに記録します。例えば、あるOEMはこのプロセスで非接続の機械式シート調整モジュールを「関連性なし」と分類し、TARAを省略して開発工数を大幅に削減しました。

台湾企業は主に3つの課題に直面します。第一に、統合開発プロセスの欠如です。多くの企業ではセキュリティが後付け作業と見なされ、SREをプロジェクト初期に実施できません。第二に、サプライチェーンの複雑さです。上流サプライヤーからの情報が不完全なため、正確なSREが困難です。第三に、専門人材と経験の不足です。対策として、SREを要件定義段階に組み込み、サイバーセキュリティ合意書で情報共有を徹底し、外部専門家による研修を通じて社内能力を迅速に育成することが推奨されます。

積穗科研は台湾企業のsecurity relevance evaluationに特化し、100社以上の支援実績を持ち、90日以内に国際標準の管理体制構築を支援します。無料診断申込：https://winners.com.tw/contact