大規模化する車載ソフト、パナソニックは品質とセキュリティを確保できるのか:車載ソフトウェア(2/2 ページ)
日本シノプシスが主催するユーザーイベント「SNUG Japan 2018」に、パナソニック オートモーティブ&インダストリアルシステムズ社 インフォテインメントシステム事業部 主任技師の古田健裕氏が登壇。「パナソニック オートモーティブ事業部門におけるソースコード品質向上の取り組み」と題して講演を行った。
ガイドラインに基づきセキュアコーディングの推奨分類を定義
コネクテッドカーや自動運転車の登場により、車載ソフトウェアに対するセキュアコーディングも求められるようになっている。車載ソフトウェアのコーディングガイドラインといえばこれまでは品質向上が目的だったが、最近はセキュリティを目的としたガイドラインも登場しているのだ。MISRA Cにも「MISRA C:2012 Amendment1」が追加されており、この他にも「Cert-C」や「CWE」などがある。
「セキュアコーディングへの対応」では、これらのコーディングガイドラインについて社内の推奨分類を定義した。2016年版のMISRAコンプライアンスに基づき「必須」「必要」「推奨」「非適用」に分けている。
例えばある事例では、CWEに基づくコーディングチェックを行ったところ、2万5000件の指摘項目を検出した。これらのうち内製コードが1万5000件、OSSが1万件だった。内製コードについては、チェック結果を分析し、推奨、非適用の再分類を決定する予定で、現在実施中である。OSSについては、シノプシスが買収したブラックダックのソリューションを使って脆弱性を検出している。
パナソニックのオートモーティブ事業全体に適用拡大
古田氏は、今後の取り組みとして「セキュリティプロセスのさらなる改善」「ソフトウェアユニット構築・検証プロセスの改善」「ソースコード静的解析の効果・効率の向上」を挙げた。特に、静的解析については、統合テストだけでなくコンポーネント単位で実施したいとしている。「Coverityのデスクトップ解析機能は、統合テストへの引継ぎなどでまだ課題がある。解析速度もさらなる向上を求めたい」(同氏)。
ここまで挙げた取り組みは、IVIを手掛けるインフォテインメントシステム事業部のものだが、パナソニックのオートモーティブ事業全体への適用拡大も進めているところだ。古田氏は「大規模〜中規模まで適用できる範囲が広いことがCoverityの特徴だろう」と述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 複雑化するソフトウェア開発、3つの解析で品質を確保する――シノプシス
シノプシス(Synopsys)と言えば、ケイデンス・デザイン・システムズ(Cadence Design Systems)、メンター・グラフィックス(Mentor Graphics)と並び、半導体向けEDA(回路設計自動化)ツールの大手ベンダーとして広く知られてきた企業だ。2017年度の売上高は約27億米ドル(約2960億円)で、従業員は約1万2000人にのぼる。 - 拡大する組み込みOSS、ソフトウェアのトレーサビリティーを確保せよ
シノプシスは、コネクテッドカーなど機器の高度化が進みソフトウェア開発の複雑性が増す中で、新たにソフトウェア開発の安全性を確保する基盤作りに取り組む。同社社長兼共同CEOのチー・フン・チャン氏に話を聞いた。 - 新たな言語に対応した静的コード解析ツールの最新版
シノプシスは、静的コード解析ツール「Coverity」の最新版「2018.01」を発表した。新しいプログラミング言語とコーディング標準規約への対応、開発ツール統合環境のサポートが拡充された。 - つながるクルマに求められるサイバーセキュリティ
スパイ映画やSF映画には、自動車がハッキングを受けて乗っ取られるシーンが出てくることがある。つながるクルマ=コネクテッドカーが当たり前になるこれからの時代、これらのシーンは絵空事では済まされない。本連載では、つながるクルマをサイバー攻撃から守る「車載セキュリティ」について解説する。 - 車内ネットワークへのサイバー攻撃は4つの階層構造で防ぐ
車載システムの進化を支えてきたCANに代表される車内ネットワーク。この車内ネットワークに対するサイバー攻撃は、多層防御(Defense-in-depth)の原則に基づき、4つのレイヤー(階層)によって防ぐことが推奨されている。 - 車載セキュリティに対応する開発プロセスとセキュリティ評価手法
車載セキュリティに対応するには、車載システムの開発プロセスそのものを変えていく必要がある。さらにその車載システムのセキュリティレベルを評価する仕組みも整備しなければならない。