ISO/SAE 21434 DIS ⇒ FDIS での変更のポイント

ISO/SAE 21434 DIS ⇒ FDIS での変更点の概要

ISO/SAE 21434 DIS ⇒ FDIS では、要求の意図そのものが変わるケースはほとんどなく、要求の統廃合や、要求する水準の見直し、NoteやExampleなど記載内容の変更が多くみられました。その中でも、大きな変更点として注目すべき内容を以下に一覧化します。

• 章構成を変更
  • 旧7章⇒8章、旧8章⇒15章、旧15章⇒7章と入れ替え
  • 旧Annex. F VERIFICATION AND VALIDATION が削除
  • 旧Annex. J MATRICES FOR RISK DETERMINATION が削除
• 脆弱性と弱点の考え方を整理
• 旧 5.4.3 Cybersecurity Risk Management が削除
• 旧 10.4.3 Specific Requirements for Software Development が10.4.1に統合
• 旧 13.4 Updatesの一部要求が、14.3 End of cybersecurity support として独立
• Annex.E においてCALを保証するための手法が全面見直し
• Annex.H におけるヘッドランプシステムへのTARAの実施事例が全面見直し

ここでは、DIS ⇒ FDIS 間の変更点の概要（一部のみ）を解説します。

章構成の変更内容の紹介

FDISでは、DISの8. RISK ASSESSMENT METHODSが、15章に移動しました。合わせて、章のタイトルが修正されています。なお、FDISの15. Threat analysis and risk assessment methodsを見ると、リスク値の決定方法にマトリクスを使う手法の他に、計算式を求める手法が追加されています。
DISの15. DISTRIBUTED CYBERSECURITY ACTIVITIESは、7章に移動しました。その影響で、DIS版の7. CONTINUOUS CYBERSECURITY ACTIVITIESが、8章に移動しています。これらの章はタイトルの修正はありません。

また、FDISにおけるAnnexを見ると、DISにおけるAnnex. F VERIFICATION AND VALIDATIONと、Annex. J MATRICES FOR RISK DETERMINATIONが削除されています。
なお、DISのAnnex. Jに記載されていたリスク決定マトリクスの事例は、FDISのAnnex. H Examples of application of TARA methods – headlamp systemに一部の記載のみが抜粋されてが残っています。

脆弱性と弱点の考え方を整理

FDISでは、用語定義にWeakness（弱点）が追加され、Vulnerability（脆弱性）との違いが明確化されました。脆弱性は弱点の一部であり、攻撃に悪用される弱点のことを「脆弱性」と呼びます。同様に、障害や欠陥に繋がる弱点は「不具合」と呼ばれています。

この考え方に基づき、脆弱性分析は「弱点の中から攻撃パスに悪用されるもの（脆弱性）を特定する」活動と記載され、攻撃に悪用されない弱点は脆弱性として扱わないことが明記されました。

ISO/SAE 21434 の解説書（FDIS対応）のご紹介

本ページでの変更点の解説はここまで。
より詳細な解説、および他の変更点の解説は、ISO/SAE 21434の解説書と合わせてご提供致します。
ご興味のある方は、お気軽にお問い合わせください！

その他、WITZが提供する各種解説書の紹介はこちらをご覧ください。
サイバーセキュリティ対策の解説書（文書）