SBOMで識別されたコンポーネントとそのバージョンに基づいて、関連する脆弱性情報を特定することも可能だ。例えば、SBOMがソフトウェアコンポーネントの特定のバージョンを識別した場合、その特定のバージョンのソフトウェアに関連する既知の脆弱性情報、つまりCVE番号と該当するCVSSスコア(Common Vulnerability Scoring System、すなわち脆弱性の深刻度の評価)のリストを抽出することができる。
一例として、図4のSBOMでは、あるインフォテインメントシステムにLinuxカーネルバージョン4.4.26が含まれていることが示されている(※17)。ソフトウェアコンポジション解析ツールの結果として、このLinuxカーネルで特定された110個の重大な脆弱性(CVE)の1つにCVE-2017-1000251がある。NVD(National Vulnerability Database)の詳細情報にはこれがLinuxカーネルのリモートコード実行を可能とするBluetooth関連の脆弱性であることが示されている(※18)。この特定された脆弱性は、82億台を超えるデバイスに影響を与えた有名なBlueborneの脆弱性である(※19)。
(※17)岡デニス健五, “オートモーティブのソフトウェア開発ライフサイクルにおけるセキュリティ戦略の世界の潮流”, オートモーティブ・ソフトウェア・フロンティア, 2018
(※18)NVD, “CVE-2017-1000251 Detail”, https://nvd.nist.gov/vuln/detail/CVE-2017-1000251
(※19)MONOist“Bluetoothの脆弱性「BlueBorne」はIoT機器を狙う!?”
さらに、ISO/SAE 21434(※20)およびUN R155(※21)には、サプライチェーン管理に関する要件とサイバーセキュリティの証拠(エビデンス)に関する要件が含まれている。従って、自動車業界にとって、サプライヤーから上流に提供される情報についての共通の理解と合意を得ることがますます重要になってきている。
OpenChainはライセンスコンプライアンスに重点を置いているが、脆弱性の管理についても同様のアプローチをとることができるであろう。例えば、SBOMのソフトウェアコンポーネントに関連する既知の脆弱性と該当するセキュリティリスクの情報を提供することが可能だ。サプライチェーンで使用する共通のフォーマットについて合意することは、全ての関係者にとって有益であり、業界が協力して達成する必要がある。
(※20)ISO, “ISO/SAE FDIS 21434 Road vehicles - Cybersecurity engineering”, https://www.iso.org/standard/70918.html
(※21)UNECE, “UN Regulation No. 155 - Cyber security and cyber security management system”, https://unece.org/transport/documents/2021/03/standards/un-regulation-no-155-cyber-security-and-cyber-security
自動車業界でソフトウェアを開発するより多くの組織がOSS管理とさまざまなISO規格に従うために内部プロセスを確立するにつれて、ライセンスコンプライアンスとセキュリティの課題対処に、サプライチェーンの信頼を構築するためのより組織化されたアプローチが見られるようになるだろう。ソフトウェアコンポジション解析ツールなどの自動化ツールを使用して、ライセンスと脆弱性に関する正確な情報を含むSBOMを効率的に生成することが最も重要になる。さらに、OSS管理に関するサプライチェーンのさまざまな関係者間の共通の理解が、イノベーションを推進し、自動車業界を変革し、将来の車載システムでより高度で革新的なソリューションを可能にするであろう。
日本シノプシス合同会社のソフトウェアインテグリティグループにてプリンシパルオートモーティブセキュリティストラテジストとしてセキュリティソリューション業務に従事。2006年より車載セキュリティを専門としている。
過去にはスウェーデンでボルボの自動車セキュリティ研究を始め、リモート診断やOTA(over-the-air)アップデートを専門としていた。前職のBoschグループでは国内とグローバルの顧客対応に従事。日本とAPACのエンジニアリング及びコンサルティングマネージャーとして特に車載セキュリティの部署(ESCRYPT)の設立に協力し貢献した。
現在、日本シノプシスでは自動車セキュリティのソリューション、主にソフトウェア開発ライフサイクルとサプライチェーンに特化したソリューションを提供しており、60以上の執筆を手掛け、世界中で講演も多数行っている。
Copyright © ITmedia, Inc. All Rights Reserved.