近年、コンピュータシステムが外部ネットワークにつながることに対するサイバーセキュリティ対策が喫緊の課題となっています。現在策定中の自動車の国際標準規格であるISO/SAE 21434においても、車両とネットワークでつながる外部デバイスまでを対象とした、サイバーセキュリティの管理・実施が求められています。Ansys medini analyzeは、ISO/SAE 21434をはじめとする各種規格に則ったサイバーセキュリティ対策として、以下の機能をご提供しています。

アセットの特定

サイバー攻撃の標的になりうる重要な資産を、SysMLのシステムアーキテクチャモデル上でアセットとして分類します。セキュリティの基本3要素であるCIA＝Confidentiality（機密性）・Integrity（完全性）・Availability（可用性）に加えて、Accountability（責任追跡性）、Authenticity（真性性）などを、アセットのセキュリティ基準として設定することができます。

ステークホルダーのモデリングを通した確認

アセットの利害関係者（ステークホルダー）をSysMLのモデル上に配置します。アセットの利用目的や、損失によって被る損害の許容基準等を設定することができます。

脅威の特定

アセットにSTRIDE手法を適用して脅威を特定します。STRIDEは脅威分析手法の1つで、アセットに対して予測される攻撃手法を6パターンに分類します。STRIDEの分類は、アセットのセキュリティ属性から自動マッピングすることができ、また脅威の発生可能性（Likelihood Level）の設定が可能です。

脅威分析とリスク評価（TARA）

特定した脅威に対してTARA（Threat Analysis and Risk Assessment）を実施することができます。リスク分析手法であるHEAVENSのリスクグラフに基づき、脅威の発生可能性と重要度（Severity Level）から、必要なセキュリティレベルを算出します。

アタックツリー分析

脅威に対して予測される攻撃手法の依存関係をツリー構造で表示します。ある攻撃手法が他の攻撃手法に与える影響や、攻撃手法同士の関係性を分析できます。

アタックパスの抽出

構築したアタックツリーから脅威が顕在化する攻撃パタン（アタックパス）を抽出したり、各アタックパスに含まれる攻撃の出現頻度を確認することができます。

※これらは策定中の規格“ISO/SAE 21434”で求められる活動ですが、発行後は、ISO/SAE 21434で求められる活動に対応した分析手法が随時追加される予定です。

セーフティとセキュリティの統合

ISO 26262で求められる安全性分析と、ISO/SAE 21434で求められるセキュリティ分析を統合して実施することを想定したプロジェクトテンプレートが提供されています。また、既存のISO 26262のテンプレートにセキュリティ分析機能を追加することも可能です。