自動車サイバーセキュリティ対面セミナー
法規対応に必要な「サイバーセキュリティの教育カリキュラム」がしっかり身につく、開発者のための「現場で使える」セミナーです。自動車メーカー様やサプライヤー様へのセミナー実績もあり、自信をもって提供するセミナーとなっております。
技術紹介
何故、サイバーセキュリティ教育が必要?
ISO/SAE 21434自動車分野におけるサイバーセキュリティの国際規格では、サイバーセキュリティマネジメントとして、組織のサイバーセキュリティ管理と、プロジェクトのサイバーセキュリティ管理、の2つの活動が求められています。
組織のサイバーセキュリティ管理を行うためには、サイバーセキュリティガバナンスを構築する必要があります。そのためには、ISO/SAE
21434に準拠したルール&プロセスの構築と、実際にプロセスを運用するための組織の構築が必要です。このとき、組織に対して適切な役割と責任を与え、かつ、十分なリソースを配置することも重要です。
ISO/SAE 21434の“5.4.2. Cybersecurity Culture組織全体にセキュリティ意識を根付かせる文化・教育の必要性を示す規格要件”では、サイバーセキュリティに関わる人材が、サイバーセキュリティに関する能力を持っていることが要求されています。この要求を満たすための手段として、セミナー形式でサイバーセキュリティ教育を実施することが効果的です。
サイバーセキュリティに関わる人材とは?
共通
サイバーセキュリティ活動を行う人材は、サイバーセキュリティ対策の必要性/重要性を理解するために、UN-R155法規やISO/SAE 21434に関する知識が必要となります。また、セキュリティ上のインシデントセキュリティ上の問題・事故(例:攻撃・漏洩・障害など)が発生した際の対処方法を理解するために、P-SIRT製品に関するセキュリティインシデント対応を行う専門組織に関する知識も必要です。
経営層
サイバーセキュリティの必要性を理解し、企業としての取り組みを明確化した上で、セキュリティに関する組織の設置や人材/予算の確保を進める必要があります。時には、サイバーセキュリティ対策の進め方に対して経営的な判断が必要となることもあります。
開発部署
製品開発を進めるために、サイバーセキュリティ開発プロセスに関する知識や、サイバーセキュリティ対策技術全般に関するスキルが必要となります。
製造部署
製造設備のセキュリティ対策の他、製品の製造時に暗号鍵を書き込む場合の手順なども知っている必要があります。
品証や購買に関する部署
社内におけるサイバーセキュリティ監査やアセスメントの他、外注先の企業の評価やセキュリティに関する役割/責任分担の取り決め(CIA機密性・完全性・可用性、情報セキュリティの3大原則)に関する知識が必要となります。
サービス内容
サイバーセキュリティセミナー(講座一覧)
| No. | タイトル | 概要 | 想定受講者 |
|---|---|---|---|
| 第1回 | UN-R155 (WP29)国連の自動車分野におけるサイバーセキュリティ関連法規サイバーセキュリティ法規の解説 | 法規の要求事項を分かりやすく解釈した内容を解説。また、業界の取り組み状況も紹介 | 全員 -経営層 -開発、品証 -製造、購買 |
| 第2回 | 自動車業界におけるP-SIRTの構築 | P-SIRTで取り組むべき内容と、実際に運用する際に注意すべきポイントを紹介 | |
| 第3回 | ISO/SAE 21434の解説 (前編) | 規格の全体構成や要求事項を分かりやすく解釈した内容を包括的に解説 | 経営層以外 -開発、品証 -製造、購買 |
| 第4回 | ISO/SAE 21434の解説 (後編) | 製品コンセプト/製品開発フェーズの要求事項をより詳しく、具体例を交えて解説 | |
| 第5回 | セキュリティ対策技術の解説 | ISO 15408IT製品のセキュリティ評価基準(通称:Common Criteria) や IEC 62443産業用システムのサイバーセキュリティに関する国際規格 に定義されているセキュリティ対策技術を分かりやすく解説 | 主に開発者 (+希望者) |
| 第6回 | 脅威分析ワーク | Attack Tree分析攻撃のパターンを木構造で整理し、脅威を分析する手法手法を利用した脅威分析をワーク形式で体験(※時間延長も可能) | |
| 第7回 | メッセージ認証仕様/SHE仕様Secure Hardware Extension。ECUなどのセキュアなメモリ制御仕様の解説 | CAN通信自動車の内部機器間で使用される通信方式(Controller Area Network)の代表的なセキュリティ対策であるメッセージ認証とセキュアメモリの仕様を解説 | |
| 第8回 | セキュリティアーキテクチャシステム全体のセキュリティ設計・構造設計方法/暗号鍵管理データ保護に使用される暗号鍵を安全に保管・運用する方法方法の解説 | 本来機能にセキュリティ対策を配置する際の考え方、暗号鍵の保護方法を詳しく解説 | |
| 第9回 | 脆弱性分析ワーク | STRIDE分析セキュリティ脅威を6分類する分析手法(Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege)手法を利用した脆弱性分析をワーク形式で体験(※時間延長も可能) | |
| 第10回 | 脆弱性への対策方法/ 評価方法の解説 | CWECommon Weakness Enumeration。既知のソフトウェア脆弱性のデータベースを利用した脆弱性対策やセキュアコーディングセキュリティを考慮した安全なプログラムの書き方、脆弱性テストの考え方などを詳しく解説 |
講義時間/提供価格など
- 講義時間
- 1回あたり2時間(質疑応答を含む)
- 提供価格
- お問い合わせください
- 利用事例
- 企業における定期教育の1つに追加して頂く(第1回~第4回まで)
セキュリティ関連製品の開発開始前に実施して頂く(第5回以降) - 補足事項
- セミナーは1回単位で個別に発注頂くことが可能です
セミナーの内容は、ご要望に応じてカスタマイズすることも可能です
脅威分析ワーク/脆弱性分析ワークは、ご要望に応じて時間延長も可能です
提供実績
受講企業実績(五十音順)
自動車メーカー様やサプライヤー様へのセミナー実績もあり、自信をもって提供するセミナーとなっております。
また、トヨタ自動車株式会社様のサイバーセキュリティに関する社内教育セミナーのコンテンツ製作をご支援しております。
※掲載許可を頂いた一部の企業様をご紹介しております。