NEWS TOPICS

会員向け情報はこちら

第1回 ISO/SAE 21434 開発動向

車載用サイバーセキュリティの国際規格 ISO/SAE 21434について

第1回
ISO/SAE 21434 開発動向

1.はじめに

 近年自動車技術の発展は目覚ましいものがあり、電動車、自動運転などカーエレクトロニクスの役割はますます重要になってきている。
 自動車の制御システムの電子化が進むとともに、セキュリティのリスクが上がり、車両外部からのサイバー攻撃によってITS交通社会への影響も大きくなると考えられる。
 このためハッキングを含む自動車に係るセキュリティ対策への関心が高まってきており、その対策の重要性は、業界のみならず、各国の政府も重要な課題と認識してきている。
 図1は、国連の法規で紹介された、車両とその周辺の接続の関係を示す概念図である。
 国としては法規を、業界としては国際標準をそれぞれ並行で策定を行っており、今後それぞれ密接に関係している要件を注視しながら、業界としては両方を準拠していく必要が出てきている。
 このような中、2016 年に自動車業界としては、ISO とSAE がジョイントビジネスとして自動車用の国際標準ISO/SAE 21434の策定を開始した。


図1:車両とその周辺の接続の関係を示す概念図

2.政府動向

(1) 国 連
 国連の欧州経済委員会(UNECE)の自動車基準調和世界フォーラム(WP 29)の中に自動運転専門分科会GRVA(Working Party on Automated/Autonomous and connected Vehicles)が制定され、Cybersecurity の法規策定のTask Force が活動を行っている。
 法規の具体的な実施要件として、業界で策定中のISO/SAE 21434を参照することになっており、各国の当局もこの国際標準に着目している。
 2020年3月のGRVA 国際会議ではほぼサイバーセキュリティに関する法案が可決され、2021年1月に発効される見込みである。
 この法規は従来の新車の車両型式認証の要件とは別に、新たに、組織の能力・プロセスを審査するプロセス認証の法規の2種類の構成となった。
 組織のプロセス認証が実施されるのは、国連法規の中でサイバーセキュリティの法規が初めてのことである。
 また、別に策定されている自動運転レベル3(SAE J 3016で規定している5段階中の3番目)の国連法規からもこの国際標準ISO/SAE 21434が推奨されている。


図2

(2) 日 本
 日本の施策として内閣府はここ数年、毎年「官民ITS構想・ロードマップ」を発行し、その中でも自動運転、MaaS(Mobility asa Service)などの新たなモビリティサービス、それらを支える共通基盤を挙げている。
 この共通基盤の項には「プライバシー・セキュリティへの対応」が記されている。
 国会では2019年5月に,道路運送車両法の改正が可決され、国土交通省は上記の国連のサイバーセキュリティに関する法規を遵守する方針で、既に2020年4月以降の自動運転車を先頭に、ソフトウェアをOTA(Over theAir)などで更新する車両、そして2022年以降は新型車全車を対象に保安基準の適用を開始している。

(3) 米 国
 米国運輸省(USDOT)では自動運転に関するガイドラインの発行とともに、サイバーセキュリティに関するガイドラインを2016年に発行しており、2020年に改定すると予告している。
 また米国商務省参加の研究団体でありNIST(National Institute ofStandards and Technology)もこの国際標準ISO/SAE 21434の策定に直接参加している。

3.業界動向

(1) 国際標準の策定開始
 2016年10月ISOとSAEのジョイントビジネスとして、ISO側ではISO/TC 22/SC 32/WG 11,SAEではJ 3061(Cybersecurity Guidebook for Cyber-Physical Vehicle Systems)をベースに、新たな投票ルールをもとに策定が開始された。
 本標準はISOとSAEのダブルロゴで2021 年に発行・販売される予定である(図3)。
 本標準の策定に当たっては、SAE J3061、ISO/IEC 15408、 ISO 26262、 ISO/IEC 27000 series、CVSS(Common Vulnerability Scoring System)など、幾つもの国際標準などを参照している。
 車載システムの基盤技術の国際標準として、業界では定着している機能安全標準ISO 26262:2018シリーズを既に発行しており、この標準も参考に策定されている。
 21434で自動車業界固有の自動車メーカ、機器サプライヤ、各種ベンダという分散開発を検討するには、26262の全体構造や一部の方法・手法と一貫性をもたせる意味もある。


図3:ISOとSAEのダブルロゴ

(2) 国際標準の全体概要
 標準のスコープ(適用範囲)は様々な議論の末、適用範囲としてISOでいうRoad vehicle車両全般が対象に、SAEでいうGrandvehicle が対象になった(二輪車や大型車,商用車も含まれる)。
 さらに、Road Vehicleに搭載される電気電子システムが対象で、その開発、製造、市場オペレーション、メンテナンス、廃棄までのエンジニアリングに関してサイバーセキュリティのリスクマネジメントの要件をまとめた標準である。
 図5にその概要を示す。


図4:ISO/SAE 21434の全体図


図5

(3) 本標準の特徴
  ◎車載システム開発(自動車メーカや電子システムのサプライヤなどの分散開発)に沿った電気電子システムの開発プロセスに適用できる。
  ◎セキュリティの防御技術は日進月歩であること、また攻撃者にヒントを与えることから具体的な方法論は記載していない。
  ◎車載器以外の外部セキュリティに関しては、リスクを想定する際に考慮するが、適用の範囲は車両内である。
  ◎車載システムとその周辺のセキュリティリスクを考え、具体的なプロセスに落とし込むためのエンジニアリングの標準である。
  ◎国連WP 29のプロセス認証の法規部分に親和性のある標準である。
  ◎DIS版では約110ページで、145の要件数、45の成果物となっているが、まだ見直しが入る予定である。

(4) 各章の紹介
  【支援プロセス関係】

  ◎5、6 章:組織及び開発プロジェクトの管理プロセス
  ◎7 章:市場のモニタリングを規定したプロセス
  ◎15 章:自動車メーカやサプライヤ間の業務のインタフェースを取り決めた分散開発

 【支援プロセス関係】
  ◎9 章:車両開発前に取り組む構想段階のプロセス
  ◎10,11 章:具体的な車両開発における製品開発プロセス
  ◎12,13 章:開発終了後、製造段階、市場の監視、メンテナンスにおける要件
  ◎14 章:廃棄に関する要件
  ◎8 章:サイバーセキュリティリスクアセスメントに関する要件

 詳細は、日本規格協会が主催となって、各種説明会を実施の予定である。詳細はそちらに譲りたい。
 現在は、まだDIS(Draft International Standard)の段階であり、今後は変更の可能性がある。しかしながら、上記の国連法規、各国当局が発行する個別法規に遵守していくには、このDIS段階からのスタディが必須である。

4.おわりに

 今まで車載システムに限定しても、サイバーセキュリティに関するガイドラインやベストプラクティスが幾つも発行されているため、世界で統一した国際標準が望まれていた。
 ただ、自動車業界では大きな影響力をもつISOとSAEの二つの策定ルール・方法の異なる団体が同一テーブルで国際標準を策定する困難さから、策定が遅れがちである。
 当初IS(International Standard)の発行は2020年末頃を見込んでいたが、両団体でのレビュー時間の違い等により、若干遅れそうである。
 しかしながら、国連のサイバーセキュリティ法規の遵守説明性の向上も考えると、本来の業界の標準の役割以上に実行強制力のある国際標準になりそうである。
 本国際標準は、ISの発行後、日本規格協会から和訳版を出版の予定である。また、標準の要件を補足説明するための解説書も発行の予定である。ご期待されたい。

本記事は「標準化と品質管理 2020年6月号」の特別企画より抜粋

【執筆者】
(公社)自動車技術会電子電装部会情報セキュリティ分科会幹事
自動車基準認証国際化研究センター通信セキュリティ対応WG 主査
(一社)日本自動車工業会エレクトロニクス部会電子安全性分科会分科会長
川名 茂之


【自動車関連規格・書籍情報】
ISO/SAE 21434:2021(原文、対訳版) を販売中です。
★日本規格協会では、SAE規格などWebdeskに掲載しきれていない各国その他の海外規格も取り扱っております。
ご要望の規格がありましたら、「商品取扱確認サービス」もしくはお問合せフォームからご連絡ください★

ISO 26262シリーズ規格 IATF 16949関連規格・書籍
2018年に改訂されたISO 26262シリーズの規格票(原文・日英対訳版)のほか、解説書を販売しております。詳細は こちら をご覧ください。 AIAGより発行されているIATF 16949やコアツールなどの規格票を販売しております。詳細は こちら をご覧ください。
AIAGより発行されているIATF 16949に関する書籍やコアツールなどのスタディガイドを販売しております。詳細は こちら をご覧ください。