製品のCSを担保する上で、CSリスク分析は重要な活動として挙げられており、主にOEMが担うアイテムレベルでの分析と、主にサプライヤが担うシステム・HW・SWレベルでの分析があります。

アイテムレベルでの分析では、サイバー攻撃から保護すべき資産を識別し、それが侵害されることで生じる損害シナリオを特定してインパクトを評価します。また、グループディスカッションや体系的なアプローチ等を通じて脅威シナリオを特定し、アイテムの構成から攻撃経路を分析し、攻撃実現可能性を評価します。インパクトの程度と攻撃実現可能性から、リスク値を導出し、低減や保有などのリスク対応の方針を決定します。低減する場合には、あるべき姿であるCS目標を定義して、機能レベルでのCS要求を導出します。

システム・HW・SWレベルでの分析では、機能CS要求から直ぐに連想される技術CS要求の整理や、システム設計書を読み解き、攻撃経路を洗い出す脆弱性分析を経て導出される技術CS要求を整理します。また、アイテム・システム・HW・SWのどのレベルにおいても、必要に応じて、車両内外の他の開発プロジェクトや生産工程等へ対応を依頼する外部CS要求を導出します。

直面する課題

CSリスク分析の手法として、様々な体系的なアプローチがある中で、自社製品に適した分析手法の選定と適用には、相応のノウハウが求められます。また、CSリスク分析結果の妥当性についての論証も求められており、属人的な対応やその場限りの対応では、組織として製品のCSを担保し論証することは困難です。製品のCSを担保し論証するには、誰が分析を行っても同じ結果が得られるように、組織として分析手法の確立が必要です。

DNVが提供するサービス

DNVでは、CSリスク分析の手法として、TM-STRIDEと命名した手法と、 Model Based Data Flow Analysis(MBDFA)手法を考案しています。これらの手法を利用しながら、組織としての分析手法の確立及び実製品に対するCSリスク分析のご支援を行います。

DNVの強み

専門性

これまで多くのOEM様、サプライヤ様のCSリスク分析を担ってきており、経験豊かなコンサルタントが、定例Teams会合を通じてお客様の事情やレベルに合わせてご支援します。

雛形提供

TM-STRIDEについては、CSリスク分析において用いるパワーポイントとエクセルシートの雛形をご提供します。MBDFAについては、分析支援ツールを準備しており、ご提供に関しては要相談とさせて頂いております。