自動車サイバーセキュリティ規格「ISO/SAE21434」完全習得講座 ~UN-R155適合に必要なノウハウやわかり難い点を徹底解説~
開催日 |
10:30 ~ 16:30 締めきりました |
---|---|
主催者 | 株式会社 情報機構 |
キーワード | 自動車技術 情報セキュリティ/ISO27001 ソフトウェア開発 |
開催エリア | 全国 |
開催場所 | お好きな場所で受講が可能 |
自動車製品へのサイバーセキュリティ対策義務化に伴い、ISO/SAE 21434規格の正しい理解が必要不可欠に! 脅威分析/脆弱性分析等、重要かつ理解が難しいリスクアセスメントの内容を、現役の組込みエンジニアが実際の開発体験を交え具体的に解説します!
セミナー講師
(株)アトリエ サイバーセキュリティアシュアランス事業部長 杉山 歩 先生
セミナー受講料
【オンラインセミナー(見逃し視聴なし)】:1名47,300円(税込(消費税10%)、資料付)
*1社2名以上同時申込の場合、1名につき36,300円
【オンラインセミナー(見逃し視聴あり)】:1名52,800円(税込(消費税10%)、資料付)
*1社2名以上同時申込の場合、1名につき41,800円
*学校法人割引;学生、教員のご参加は受講料50%割引。
受講について
- 配布資料はPDF等のデータで送付予定です。受取方法はメールでご案内致します。(開催1週前~前日までには送付致します)※準備の都合上、開催1営業日前の12:00までにお申し込みをお願い致します。(土、日、祝日は営業日としてカウント致しません。)
- 受講にあたってこちらをご確認の上、お申し込みください。
- Zoomを使用したオンラインセミナーです→環境の確認についてこちらからご確認ください
- 申込み時に(見逃し視聴有り)を選択された方は、見逃し視聴が可能です→こちらをご確認ください
セミナー趣旨
2021年1月に自動車のサイバーセキュリティ法規“UN-R155”が発行され、2022年7月以降に発売される一部の車両から、サイバーセキュリティ対策の義務化が始まっています。 UN-R155サイバーセキュリティ法規を満たすためには、法規と平行して策定され、2021年8月に発行された自動車サイバーセキュリティ規格“ISO/SAE 21434”の準拠が必要です。そのため、対応のためには“ISO/SAE 21434”の規格内容を曖昧でなく、正しく理解しておくことが非常に重要になってきます。 本セミナーでは、まず自動車に対するハッキング事例を通じて自動車に迫る脅威を認識した後に、UN-R155法規の策定背景と具体的な要求事項を解説します。 その後、受講者の方にISO/SAE 21434の全体概要を掴んで頂くために、[1]サイバーセキュリティマネジメント(組織&仕組み)の構築方法、[2]サイバーセキュリティリスクアセスメントの考え方、[3]製品開発プロセス(設計/実装/評価)の概要、[4]製品開発からSIRT活動を通じた脆弱性の管理方法について解説を行います。 また、本講座では、ISO/SAE 21434の中でも、脅威分析/脆弱性分析等、特に理解が難しいサイバーセキュリティリスクアセスメントの内容を、脅威分析からセキュリティ対策導出までの流れに沿って、独自の解釈/解説と具体事例をふまえ詳しく解説します。 なお、本講座は現役の組込みエンジニアが講師を行います。規格や仕様に関する知識だけでなく実際の開発体験を交えて、自動車向けのセキュリティ対策に 必要なノウハウを1日で分かりやすくお伝えします。
受講対象・レベル
・OEM/サプライヤで、自動車のセキュリティ対策の導入を始める方・サイバーセキュリティに関連する車載ECUの開発に携わっている方 など
習得できる知識
・UN-R155サイバーセキュリティ法規による規制の動向から、「何のために」、「いつまでに」、「誰が」、「どのような」 取り組みが必要かを学ぶことができます。・ISO/SAE 21434 におけるサイバーセキュリティマネジメントの概要を理解し、法規適用開始までに構築が必要な組織や、 整備が必要な仕組み(受発注時の責任分担の合意や、市販品/OSS利用時の注意事項、各種ツールの管理方法など)を 学ぶことができます。・ISO/SAE 21434におけるサイバーセキュリティリスクアセスメントの考え方を理解し、製品に対して考えられる想定脅威と、 それを防ぐためのセキュリティ対策の導出ができるようになります。※UN-R155サイバーセキュリティ法規のAnnexに記載されている想定脅威/セキュリティ対策の一覧を題材とした 「リスクアセスメントの具体事例」を紹介します。・ISO/SAE 21434 における製品開発プロセス(設計/実装/評価)で実施すべき活動を理解し、自社の開発プロセスとのギャップを 分析することができるようになります。・ISO/SAE 21434 における開発後(製品製造/運用)フェーズで実施すべき活動を理解し、開発後フェーズに 「適切なセキュリティ要求」を渡すことができるようになります。・ISO/SAE 21434におけるSIRT(Security Incident Response Team)活動を理解し、製品の開発から運用フェーズまでを通じた 脆弱性情報の管理方法を学ぶことができます。 また、万が一インシデントが発生してしまった場合に実施すべきことも合わせて紹介します。
セミナープログラム
1.ISO/SAE 21434の必要性(利用する嬉しさ)とは? 1-1.UN-R155サイバーセキュリティ法規の動向 1-1-1. 自動車に対するハッキング事例 1-1-2. 自動車業界のサイバーセキュリティ対策動向 1-1-3. サイバーセキュリティ法規の概要と適用計画 1-1-4. サイバーセキュリティ法規に不適合となった場合の影響 1-2.UN-R155サイバーセキュリティ法規の概要 1-2-1. CSMS (Cyber Security Management System) 適合確認とは? 1-2-2. 法規適合に向けて整備が必要なセキュリティプロセスの全体像 1-2-3. セキュリティリスクの特定とリスクが低減できたことの説明性 1-2-4. サプライチェーン全体に対するセキュリティプロセスの適用 1-2-5. 車両の生産/運用フェーズにおけるSIRT活動の実施 1-3.UN-R155サイバーセキュリティ法規とISO/SAE 21434の対応関係 1-3-1. ISO/SAE 21434の全体構成 1-3-2. UN-R155とISO/SAE 21434との対応関係2.ISO/SAE 21434の全体概要 2-1.サイバーセキュリティマネジメントの構築方法 2-1-1. サイバーセキュリティガバナンスの構築と監査 2-1-2. 製品の開発計画とサイバーセキュリティアセスメント 2-1-3. CIA(Cybersecurity Interface Agreement)の締結 2-1-4. SIRT(Security Incident Response Team)の構築と運用 2-2.サイバーセキュリティリスクアセスメントの考え方 2-2-1. 脅威分析の準備(前提条件とアイテムの定義) 2-2-2. 脅威分析の実施(トップダウンアプローチとボトムアップアプローチ) 2-2-3. リスクアセスメントの方法(攻撃の影響度/攻撃可能性の評価) 2-2-4. リスクへの対処方法(リスクの低減/共有/保持/回避) 2-2-5. サイバーセキュリティゴール/サイバーセキュリティクレームの定義 2-3.製品開発プロセス(設計/実装/評価)の概要 2-3-1. サイバーセキュリティ要求を実現するための対策技術 2-3-2. システムアーキテクチャ設計に対する脆弱性分析 2-3-3. HW/SWアーキテクチャ設計に対する脆弱性分析 2-3-4. 脆弱性分析で特定した脆弱性へのセキュリティ対策の追加 2-3-5. サイバーセキュリティ対策の評価(機能評価/脆弱性評価) 2-4.製品開発からSIRT活動を通じた脆弱性の管理方法 2-4-1. 脆弱性分析/脆弱性評価で特定した脆弱性情報の管理(収集) 2-4-2. 特定した脆弱性情報の設計/評価工程へフィードバック 2-4-3. 特定した脆弱性情報のSIRT活動へのフィードフォワード 2-4-4. SIRT活動で特定した脆弱性のリスクアセスメント方法3.脅威分析/脆弱性分析およびリスクアセスメント事例の解説 3-1.UN-R155 サイバーセキュリティ法規 Annex.5 の解説 3-1-1. UN-R155 サイバーセキュリティ法規における想定脅威(Annex.5 Table-A) 3-1-2. 想定脅威を防ぐためのサイバーセキュリティ対策(Annex.5 Table-B, C) 3-2.脅威分析/脆弱性分析事例の解説 3-2-1. コンセプトフェーズにおける脅威分析(Attack Tree Analysis)の実施事例 3-2-2. 製品開発フェーズにおける脆弱性分析(STRIDE)の実施事例 3-3.コンセプトフェーズにおけるリスクアセスメント事例 3-3-1. サイバーセキュリティリスクアセスメントの目的(コンセプトフェーズ) 3-3-2. 脅威分析結果に対するリスクアセスメントの事例 3-3-3. 脅威シナリオを防ぐためのセキュリティ対策の事例 3-4.製品開発フェーズにおけるリスクアセスメント事例 3-4-1. サイバーセキュリティリスクアセスメントの目的(製品開発フェーズ) 3-4-2. 脆弱性分析結果に対するリスクアセスメントの事例 3-4-3. 特定した脆弱性を塞ぐためのセキュリティ対策の事例<質疑応答>