自動車をハッキングから守るための「ベストプラクティス」

『Help Net Security』

August 15, 2016 09:30
by 『Help Net Security』

自動車の安全や排出削減、燃費において、新しい技術が驚くべき進歩への道を切り開いている。今の自動車は運転者の安全を守るために、かつてない程より多くのことを処理したり、接続されたりしている。そのため接続された自動車は、セキュリティを考慮して設計・製造されなければならない。

自動車情報共有・分析センター(Auto-ISAC)のメンバーが、包括的な自動車サイバーセキュリティベストプラクティスの概略を発表した。自動車サイバーセキュリティベストプラクティスは、業界全体で自動車のサイバーセキュリティをさらに強化するための事前予防策として制作されたものである。

世界中の自動車サイバーセキュリティ専門家50名以上が、自動車のサイバーセキュリティ機能を進化させるためのベストプラクティスの制作に参加している。この取り組みは、Auto-ISACのメンバーである自動車メーカー15社が自動車のエコシステムのサイバーセキュリティの全側面を調査するためのワーキンググループを立ち上げた2016年初めに始まった。

「このISACのベストプラクティス文書からもわかるように、自動車業界はサイバー脅威に対応するための重要な取り組みを見せている。一方で私は、サイバー脅威に対する最も重要な対策は、出荷時設定に応じて自動車のコントローラーを自動的に強化することであると考えている。こうすることで、セキュリティバグの悪用を自動的に検知・防止し、攻撃者が自動車をハッキングに成功するのを阻止できるようになる」とKaramba Security会長のDavid Barzilai氏はHelp Net Securityに話した。

7つのキートピック分野にわけられた

ベストプラクティスは、下記7つのキートピック分野において、組織の進歩を助けるためのガイダンスを提供している。

  • ガバナンス:自動車のサイバーセキュリティプログラムと、組織の幅広い目標や方針を連携させる。
  • リスク査定とマネージメント:サイバーセキュリティリスクの特定、分類、優先順位付け、対処のためのプロセス開発による、サイバーセキュリティ上の脆弱性の潜在的な影響の緩和。
  • 設計段階でのセキュリティ:安全な自動車開発のために、安全な設計原理に従うと同時に、製品開発プロセスにおいてサイバーセキュリティ機能を統合する。
  • 脅威の検知と防止:積極的に環境を監視し、リスクを緩和するために脅威、脆弱性そしてインシデントを検知する。
  • インシデントレスポンス:自動車メーカーが、確実かつ迅速な方法で自動車のサイバーインシデントに対応できるようにする。
  • 意識向上とトレーニング:サイバーセキュリティ文化を啓発し、自動車のサイバーセキュリティを推進する上での個々の役割と責任への理解を確実なものにする。
  • 適正な第三者との協力・連携:サイバー脅威の認識と攻撃への対応を強化する。

このベストプラクティスは、自動車のエコシステムに潜む潜在的なサイバーセキュリティ脅威に対する防衛策のサポートや進展、改善のために、技術的なものから組織的なものまで幅広く提供している。またこれらはISOやNIST、その他確立されたサイバーセキュリティのフレームワークを基礎としているが、自動車向けに調整されている。Auto-ISACのメンバーは常に進化し続けるサイバー世界の状況に追随するために、継続的に時間をかけてベストプラクティスの強化に取り組んでいる。
 
翻訳:編集部
原文:Industry collaborates on automotive cybersecurity best practices
※本記事は『Help Net Security』の許諾のもと日本向けに翻訳・編集したものです

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…