ソフトウェア部品表はセキュリティ対策で不可欠に、構成解析ツールに最新版：車載ソフトウェア

[齊藤由希，MONOist]

　ブラックベリー（BlackBerry）は2021年8月6日、オンラインで説明会を開き、サプライチェーン全体を対象としたソフトウェア構成解析ツールの最新版「Jarvis 2.0」を発表した。

　Jarvis 2.0は、サードパーティー製のソフトウェアに関して、ソフトウェアの構成の確認、バイナリパッケージの作成に使用された全てのファイルの公開、ソフトウェアのバイナリに隠れている問題の評価と対応の優先順位付けなどを行う。

Jarvis 2.0の操作画面のイメージ（クリックして拡大） 出典：ブラックベリー

外部から調達したソフトウェアがサイバー攻撃の糸口に？

　自動車をはじめとするミッションクリティカルなアプリケーションでは、ソフトウェアの複雑化や大規模化が進んでおり、サードパーティーが開発したソフトウェアも多数含まれる。車載ソフトウェアであれば、自動車メーカーやティア1サプライヤー、それ以降の仕入先によるソフトウェアが混在する。バイナリ形式で提供されたソフトウェアは、自動車メーカーなど最終製品を担当する企業にとってブラックボックスのような存在だという。

　特に米国では、サードパーティー製のソフトウェアの脆弱性を利用したハッキング事例が発生し、最終製品を担当する企業が、調達したソフトウェアの構成を把握することの重要性が認識されている。自動車だけでなく、インフラ企業などでもこうした取り組みが定着していくとみられる。その中で、最終製品の安全性やセキュリティを確保し続けるにはソフトウェア部品表（SBOM）の管理がカギを握る。SBOMは、ソフトウェアスタック全体の潜在的な問題を把握する上で有効だ。

　Jarvis 2.0は、SBOMを作成するに当たってソースコードへのアクセスは不要で、各ファイルの開発ベンダーとソフトウェアの詳細をインタラクティブなチャートで提供する。さらに、Jarvis 2.0では、共通脆弱性識別子（CVE）の特定や、ソフトウェアのバージョンや修正が行われた時期の把握に対して誤検知を抑制しながら対応する。QNX以外の車載ソフトウェアにも対応している。

AWSとの協業「IVY」は2022年2月から提供開始

　説明会では、ブラックベリーとAWS（Amazon Web Services）が協業して進めている車載データプラットフォーム「IVY」の進捗についても説明した。IVYを発表した2020年12月の時点ではリリース時期などを非公開としていた。

　2021年は、3月にイノベーションファンドを立ち上げた。6月にはアドバイザリーカウンシルに複数の企業が参加した他、ソフトウェア企業のエレクトラ（Electra）から出資を受けた。10月に製品版のIVYへのアーリーアクセスを開始し、2022年2月から製品版の出荷を開始する。

ブラックベリーのジョン・ウォール氏

　IVYは、自動車のセンサーやECU（電子制御ユニット）、車載ソフトウェアから得られるデータの仕様の違いなどを吸収し、標準的なオープンデータとして利活用できるようにすることを目指したプラットフォームだ。

　「スマートシティーを想定したときに、クルマごとに得られるデータがバラバラではソフトウェアが生み出すはずの価値が薄まることが考えられる。自動車メーカーと競合する部分があるかもしれないが、共通化は収益性を高めるチャンスでもある。QNXが自動車業界の各社とのコラボレーションで成長してきたのと同様に、IVYも成長させていきたい」（ブラックベリー シニアバイスプレジデントのジョン・ウォール氏）

→その他の「車載ソフトウェア」関連記事はこちら