ISO26262対応 セキュリティ脅威分析ツール

ISO26262対応 セキュリティ脅威分析ツール

SecuLia

ISO26262対応 セキュリティ脅威分析ツール

脅威分析手法として広く 使われているアタックツリーを中心とした脅威分析手法を採用したセキュリティ分析ツールです。ISO 26262の Part 3 安全コンセプト、 Part 4 (システムレベル開発)、Part 5(ハードウェア開発), Part 6 (ソフトウェア開発)と同等のセキュア開発プロセスにおいて利用可能です。

IT業界におけるセキュリティの現状

IT 業界においては、セキュリティに関連する脅威を同定し、そのアセスメントを行い、対抗策(セキュリティ機能)を設計する開発手法がとられていないのが問題となっています。
そのため、セーフティ(安全)側で実施されているような安全分析とアセスメントは一般的には利用されていないという認識です。また、車載システムにおいても機能安全の考え方と同様に、セキュリティ機能の開発のためには、脅威分析、そのアセスメント、対抗策の導出が不可欠です。


セキュア開発プロセスにおけるセキュリティ脅威分析を支援するツール「SecuLia」

「SecuLia」は、セキュア開発プロセスにおけるセキュリティ脅威分析を 支援するツールです。FTAとATAの両方を個々、もしくは相互の分析を関連付ける 手法を支援します。特に、FT図の記述/AT図の記述で、FT図の中でAT図を記述することも可能です。また、パッケージ導入によるモジュール化の支援を行い、AT図のリスクアセス メント機能を備えており、EVITA流の分析を支援します。本ツールは、(株)シーエーブイテクノロジーズとガイオ・テクノロジー(株) の共同開発製品です。


「SecuLia」の利用フェーズと効果

ISO 26262の Part 3 安全コンセプト、 Part 4 (システムレベル開発)、 Part 5(ハードウェア開発), Part 6 (ソフトウェア開発)と同等の セキュア開発プロセスにおいて利用可能で、セキュリティ分析だけではなく、 安全分析とセキュリティ分析との相互影響にもフォーカスした分析を可能にします。


セーフティとセキュリティ 作業の流れ/ FT図、AT図、FT-AT図を利用する際の手順(例)

SecuLiaの機能

脅威分析手法を採用したセキュリティ分析ツール

<基本機能>
 ・FT図の記述/AT図の記述
 ・FT図の中でAT図を記述することが可能
 ・パッケージの導入によるモジュール化の支援
 ・AT図のリスクアセスメント機能
 ・EVITA流の分析を支援
 ・AT図の表現拡張機能を提供予定
<以下、今後オプションで実装予定の機能>
 ・リスクアセスメントの計算機能