By Ling Cheng (Senior Product Marketing Manager)
今日の製品セキュリティの状況において、TARA(脅威分析とリスクアセスメント)は単に設計時にチェックする項目ではなく、サイバーリスクと脅威の先手を打つための重要な要素となっています。
VicOne 2025年 自動車サイバーセキュリティレポートによると、2024年には自動車関連の脆弱性が530件公表され、2019年の報告件数の2倍近くに達し、今年も増加傾向にあります。この継続的な上昇は、目立たないものの緊急の課題を示唆しています。組織は脆弱性を早期に特定し、それがどのように悪用されるかを予測し、攻撃者が行動に移す前に手を打つ必要があります。遅れが生じれば、セキュリティの境界線を攻撃者に事実上委ねることになり、バランスは敵に傾きます。
静的なTARAがもはや十分でない理由
従来のTARAは、手作業によるリスク評価に大きく依存していました。通常、その評価作業は設計段階で終了し、そのまま更新されることはほとんどありませんでした。なぜなら、新しい脆弱性や攻撃手法を検知するための脅威インテリジェンスが提供されておらず、分析を開始する自動化されたトリガーが欠如していたためです。重要な情報は各部門に散在し、互換性のない形式や個別のシステムに閉じ込められているため、シームレスなデータ共有はほぼ不可能となってしまっていたのです。効果的なリスク評価には、製品セキュリティインシデント対応部門(PSIRT)とプロダクト部門との連携が不可欠ですが、両部門の専門知識は乖離しがちであり、適切な影響度評価や攻撃の実現可能性評価の妨げとなっていました。
図1. PSIRTとプロダクト部門間の連携不足は、専門知識のずれとデータのサイロ化により効果的なTARAの妨げとなる
新しい脆弱性が出現した際に、PSIRT部門はしばしば以下のような状況に遭遇します。
- システムデータの陳腐化:アーキテクチャーや脅威シナリオが、システムの現状を反映していない。
- 手作業によるリスク通知:新しい脆弱性情報がTARAプロセスに反映されず、検知と対応の連携が断たれている。
- 手作業によるリスク分析:影響と攻撃の実現可能性(現実的な影響度)を手動で再分析する必要があり、意思決定が遅れてしまう。
ほとんどの組織では、脆弱性/脅威インテリジェンスがTARAの更新に直接反映され、リスク評価と緩和策がタイムリーに調整されるような、クローズドループのワークフローが構築されていません。また、新しい CVE(共通脆弱性識別子)が公表されたときに TARA の更新を開始するトリガーもなく、手動プロセスに依存しています。
その結果として対応が遅れ、攻撃者が悪用できる致命的な時間差が拡大してしまうのです。リスクが完全に評価される頃には、被害は既に拡大しているかもしれません。
静的なチェックリストから動的なリスク管理エンジンへの転換
リスクマネジメントプロセスは、新たな脅威と歩調を合わせない限り、真の意味でダイナミックではありません。そこでダイナミックTARAが登場し、一回きりの静的なリスク評価を継続的に進化する防御エンジンに変えます。これにより、脅威の早期発見、レスポンスタイムの短縮化を可能にし、攻撃者が付け入る隙を最小化することができます。
SystemWeaverとVicOneのコラボレーションは、このビジョンの実現方法を示しています。製品ライフサイクル全体のVモデルのギャップを埋めることで、脅威インテリジェンスから自動TARAトリガー、更新されたリスク評価とPSIRTアクションまで、クローズドループのワークフローを実現します。SystemWeaverのSDVプラットフォームとVicOneのxZETA製品セキュリティプラットフォームの間のシームレスなデータ交換が、この統合を後押しします。脅威シナリオ、攻撃経路、実現可能性評価などの重要なインプットは、TARAプロセスに自動的に入力されます。構成管理と完全なトレーサビリティにより、このプロセスは継続的なコンプライアンスをサポートします。その結果、手作業は削減され、対応が迅速化されることで、いわば「起きた火事の火消し」という消極的な対応から、「火種のうちに消す」という情報に基づいた積極的なリスク管理への移行が可能になります。
図2. 脆弱性解析とTARAの自動化された動的統合は、PSIRT部門とプロダクト部門間のギャップを埋め、新たな脅威にダイナミックに適応する車両リスク管理を可能にします。
最先端の技術:TARAを御社のサイバーセキュリティの優位性に変える
ダイナミックTARAは単なる製品セキュリティの基盤ではなく、急速に進化する脅威に対抗するためのリスク管理エンジンです。ダイナミックTARAの真の価値は、自動化だけにあるのではなく、組織が攻撃者匹敵する敏捷性を身に付け、さらに先回りした防御を可能にすることにあります。この発想の転換により、リスク管理は製品セキュリティの中核をなす柱へと変貌を遂げます。
脆弱性管理とTARAへのアプローチを見直してみてください。組織間のギャップを埋め、循環可能なワークフローを構築することで、新たな脅威とサイバーリスクに先手を打つことが可能となります。
