　米国大統領令14028やEUのサイバーセキュリティレジリアンスアクトがSBOMの使用を求めており、米国のコネクテッドカー規制でも同様の要求がある。EUのサイバーセキュリティレジリアンスアクトは、ユーザーと消費者保護のため、脆弱性処理要件として製品の最上位レベルの依存関係を網羅する一般的な形式でのSBOM作成を要求する。

　米国大統領令14028は重要インフラのセキュリティ堅牢化を目的としており、実務的な申請においてSBOMを求められるケースが多いという。SBOMの最低限の記録要件として、ソフトウェアコンポーネントの著作者名、サプライヤー名、タイムスタンプ、コンポーネント名、バージョン固有識別子の管理が要求される。

　米国のコネクテッドカー規制においても、直接的なSBOM作成要件はないものの、対象ソフトウェアの著作者名やサプライヤー名、タイムスタンプ、コンポーネント名を記録することが要件として示されている。自動車メーカーは、これらの要件を満たすための必要書類のサプライヤーからの取得や評価のためにあらゆる措置を講じたことを証明という形式で宣言する必要がある。

　今後、米国総務省と自動車メーカーのやりとりや情報共有でコネクテッドカー規制への対応が具体化していく見通しだ。具体例を交えて規制の定義を理解し、対象となるソフトウェアの範囲を線引きしていくことになる。また、「中国での開発」が完全子会社なら認められるのか、どのような開発の管理監督であれば認められるのかなど、引き続き情報収集が必要な領域も残っている。

　ソフトウェアのサプライチェーン管理を社内のどの部門が担当するか、SBOMに必要なデューデリジェンスのプロセスや体制構築をどのように進めるのか、自動車メーカーとサプライヤーの商務省への報告責任の明確化なども必要になりそうだ。

SBOM脆弱性管理ツールを提供

　VicOneでは、これらの環境を踏まえてSBOM脆弱性管理ツールを用意している。クラウド型のSaaSツールで、バイナリをアップロードしてSBOMを作成したり、SBOM事態をアップロードしたりすることができる。ハードウェアの部品表（BOM）との同時管理や、チケット管理システムとの連携も可能だ。

　脆弱性情報は、VicOneの親会社であるトレンドマイクロが運営するコミュニティー「ゼロデイイニシアチブ」を通じて収集するデータに加えて、NVD／JVNなどのデータベースからも収集したものを提供する。多くの脆弱性を検出できるが、環境に応じて絞り込む機能があるため、脆弱性管理工数を削減できる。また、ゼロデイイニシアチブのデータベースと直接連携されているため、ゼロデイ脆弱性の発見から24時間以内に警告を受けることも可能だ。アプリケーションの動作分析により、マルウェアバックドアの解析も行える。

　中国とロシアを警戒する規制を受けて、データベースを基に中国製／ロシア製のソフトウェアを特定する機能もSBOM脆弱性管理ツールに含まれている。

自動運転とサイバーセキュリティはセットで

　ティアフォー AD Securityチームマネージャーの伊藤史人氏が、OSSの活用が進む中でのSBOMを活用した脆弱性管理について説明した。同社は自動運転バス、ロボタクシー、工場内の自動搬送システムなど向けに自動運転ソフトウェアと、ハイパフォーマンスコンピュータなどハードウェアを開発しており、日本全国各地で実証実験を重ねている。

　自動運転ソフトウェアを搭載した車両を公道で走らせる場合は道路交通法に従う必要があり、道路交通法でもサイバーセキュリティへの対応が求められている。そのため、自動運転システムの開発はサイバーセキュリティと密接にかかわっており、脆弱性管理にもティアフォーは取り組んでいる。

　世に出ているサイバーセキュリティ情報の収集や、脆弱性の分類（トリアージ）、脆弱性がティアフォー製品にどのような影響を与えるかの判定などを行う。脆弱性の評価では、アーキテクチャや攻撃経路の分析、実際の攻撃可能性などを分析する。継続的なサイバーセキュリティ活動で最も重要なのは、脆弱性を特定、追跡し処置を監督するという一連の管理だと伊藤氏は説明する。リスクの許容度を見積もって対応を判断し、不合理なリスクが残らないように処置していくことも不可欠だという。

　こうした工程において、ソフトウェアの資産目録としてSBOMを管理していくことが重要だとしている。実際に、社内ではVicOneのSBOM脆弱性管理ツールを活用しているが、ツール間の連携にはまだ課題が残っており、今後解決に取り組むという。

→その他の「車載セキュリティ」関連記事

この連載を「連載記事アラート」に登録する New