セーフティとセキュリティのサポート

ANSYS medini analyze 2020 R1から、体系立ったモデルベースのサイバーセキュリティ脅威特定と分析がサポートされるようになりました。このリリースには、まったく新しいサイバーセキュリティ Tier が追加されており、専用のパースペクティブ、新規作成用プロジェクトテンプレート、新しいモデリング要素、および、資産特定、脅威分析とリスクアセスメント（TARA）、アタックツリーモデリングといった新しい分析手法のサポートが含まれています。これらの機能は、近日策定予定のISO 21434や関連するセキュリティ規格といったサイバーセキュリティ規格に基づくものとなっています。

セーフティ Tier と同様、サイバーセキュリティ分析部分も、SysMLをベースにしたセキュリティプロパティの単一情報源手法を用いた、システム指向のサイバーセキュリティ分析を提供しています。セーフティとサイバーセキュリティは"一つのツール"で提供されており、システムの安全性と同時に、増加する巧みな攻撃からのシステムの保護、その両方を確かなものにします。

資産特定

システムアーキテクチャ内の任意のシステムモデル要素を資産として区別する事ができるようになりました。この機能にはセキュリティ属性の定義も含まれます。潜在的なセキュリティ属性のセット（よく知られている3要素CIA - 「Confidentiality（機密性）」、「Integrity（完全性）」、「Availability（可用性）」等）は、プロジェクトの設定でCIAAAやHEAVENS(HEAling Vulnerability to ENhance Software Security) 等にカスタマイズする事ができます。

ステークホルダのモデリング

個々のステークホルダを、ステークホルダ同士の関連性、および資産に対する関心事と共にモデリングする事ができるようになりました。各ステークホルダには、例えばHEAVENSで定義されている特定の目標や許容基準を設定する事ができます。これらのセットはプロジェクトの設定でカスタマイズできます。

脅威、脆弱性、攻撃のモデリング

2020 R1では、脆弱性、攻撃、脅威という、サイバーセキュリティモデリングのための新しい基本概念が導入されました。これらは、SysML要素で付加するかコレクション中に作成する事ができます。例えば、既知の明らかな攻撃や新しい仮説上の攻撃を攻撃コレクションで管理する事ができます。各攻撃の発生可能性レベル（Likelihood level）をそうしたコレクション中で事前定義する事もできます。

脅威特定

2020 R1では、STRIDE（Spoofing（なりすまし）、Tampering（改ざん）、Repudiation（否認）、Information disclosure（情報漏洩）、Denial of service（サービス拒否）、Elevation of privileges（特権昇格））をベースにして、体系的かつ反復的に実施可能な脅威特定がサポートされています。特定されているすべての資産について、そのセキュリティ属性またはコンポーネントタイプに基づいて脅威を自動的に導出する事が出来ます。そのために使用する、属性またはタイプとSTRIDE脅威カテゴリのマッピングは簡単に変更しカスタマイズする事ができます。

脅威分析とリスクアセスメント (TARA)

特定された脅威は、脅威コレクションに集めて管理する事ができます。各脅威の発生可能性レベル（Likelihood level）は、個々の発生可能性パラメータをベースにして事前に見積もる事ができ、当該脅威の潜在的リスクをさらに分析して評価するかどうかの判断材料となります。脅威のリスクアセスメントは、TARAエディタでサポートされます。TARAエディタでは、事前見積もりされた発生可能性パラメータが引き継がれ、影響レベルの見積もりを行えます。また、HEAVENSのリスクグラフに基づいて、発生可能性と影響レベルから全体のセキュリティ/リスクレベルの計算が行われます。そして、関係するステークホルダの許容基準に基づき、低減対策を定義して適用します。

アタックツリー

アタックツリーは、資産または攻撃対象がどのように攻撃され得るかを具現化するために使用できます。このリリースではグラフィカルなアタックツリーエディタが追加されており、既知の攻撃と論理ゲートを組み合わせて、潜在的な脅威へとつながる複雑な攻撃シナリオを構築できます。アタックツリーは、攻撃パスおよび脅威へのシナリオを列挙し、攻撃知識に基づいて脅威の発生可能性レベルを見積もるために使用できますが、最も効率良く脅威を低減する方法に気付くためにも使用できます。