自動車をハッキングから守るための「ベストプラクティス」

August 15, 2016 09:30
by 『Help Net Security』

自動車の安全や排出削減、燃費において、新しい技術が驚くべき進歩への道を切り開いている。今の自動車は運転者の安全を守るために、かつてない程より多くのことを処理したり、接続されたりしている。そのため接続された自動車は、セキュリティを考慮して設計・製造されなければならない。

自動車情報共有・分析センター（Auto-ISAC）のメンバーが、包括的な自動車サイバーセキュリティベストプラクティスの概略を発表した。自動車サイバーセキュリティベストプラクティスは、業界全体で自動車のサイバーセキュリティをさらに強化するための事前予防策として制作されたものである。

世界中の自動車サイバーセキュリティ専門家50名以上が、自動車のサイバーセキュリティ機能を進化させるためのベストプラクティスの制作に参加している。この取り組みは、Auto-ISACのメンバーである自動車メーカー15社が自動車のエコシステムのサイバーセキュリティの全側面を調査するためのワーキンググループを立ち上げた2016年初めに始まった。

「このISACのベストプラクティス文書からもわかるように、自動車業界はサイバー脅威に対応するための重要な取り組みを見せている。一方で私は、サイバー脅威に対する最も重要な対策は、出荷時設定に応じて自動車のコントローラーを自動的に強化することであると考えている。こうすることで、セキュリティバグの悪用を自動的に検知・防止し、攻撃者が自動車をハッキングに成功するのを阻止できるようになる」とKaramba Security会長のDavid Barzilai氏はHelp Net Securityに話した。

7つのキートピック分野にわけられた

ベストプラクティスは、下記7つのキートピック分野において、組織の進歩を助けるためのガイダンスを提供している。

• ガバナンス：自動車のサイバーセキュリティプログラムと、組織の幅広い目標や方針を連携させる。
• リスク査定とマネージメント：サイバーセキュリティリスクの特定、分類、優先順位付け、対処のためのプロセス開発による、サイバーセキュリティ上の脆弱性の潜在的な影響の緩和。
• 設計段階でのセキュリティ：安全な自動車開発のために、安全な設計原理に従うと同時に、製品開発プロセスにおいてサイバーセキュリティ機能を統合する。
• 脅威の検知と防止：積極的に環境を監視し、リスクを緩和するために脅威、脆弱性そしてインシデントを検知する。
• インシデントレスポンス：自動車メーカーが、確実かつ迅速な方法で自動車のサイバーインシデントに対応できるようにする。
• 意識向上とトレーニング：サイバーセキュリティ文化を啓発し、自動車のサイバーセキュリティを推進する上での個々の役割と責任への理解を確実なものにする。
• 適正な第三者との協力・連携：サイバー脅威の認識と攻撃への対応を強化する。

このベストプラクティスは、自動車のエコシステムに潜む潜在的なサイバーセキュリティ脅威に対する防衛策のサポートや進展、改善のために、技術的なものから組織的なものまで幅広く提供している。またこれらはISOやNIST、その他確立されたサイバーセキュリティのフレームワークを基礎としているが、自動車向けに調整されている。Auto-ISACのメンバーは常に進化し続けるサイバー世界の状況に追随するために、継続的に時間をかけてベストプラクティスの強化に取り組んでいる。
　
翻訳：編集部
原文：Industry collaborates on automotive cybersecurity best practices
※本記事は『Help Net Security』の許諾のもと日本向けに翻訳・編集したものです