組み込みソフト開発で重視されるSBOM、BlackBerryが国内パートナーと連携強化：組み込み開発ニュース（2/2 ページ）

BlackBerryは、組み込みシステム向けに特化したバイナリベースのソフトウェア構成解析とセキュリティテストのツール「BlackBerry Jarvis 2.0」について、マクニカ、日立産業制御ソリューションズ、アイ・エス・ビー、ネクスティ エレクトロニクス、SCオートモーティブエンジニアリングの5社がチャネルパートナーに加わったと発表した。

[朴尚洙，MONOist]

CVE検出数、診断時間とも他社ツールを上回る性能

マクニカの大竹勉氏 出所：BlackBerry

　国内チャネルパートナーを代表して登壇したマクニカ イノベーション戦略事業本部 スマートモビリティ事業部 プロダクトマーケティング 1部 副部長 兼 デジタルマーケティング部 部長の大竹勉氏は「当社がサービス・ソリューションプロバイダーへの移行を進める中で、ワンクリックで潜在的なセキュリティ問題を特定し、SBOMを作成できるJarvis 2.0によって、顧客のソフトウェア品質の確保に大きく貢献できるようになる」と述べる。

　マクニカはIoTセキュリティ向けコンサルティング事業を展開しており、中でもソフトウェア診断のプロセスでJarvis 2.0を活用したい考えだ。また、自動車や医療機器の業界ではセキュリティ対策にソフトウェアの部品表であるSBOMを活用する流れが強まっている。特に、医療機器業界では、国際医療機器規制当局フォーラム（IMDRF）が医療機器のサイバーセキュリティ対策についてSBOMを活用するガイダンスを発行している他、国内でも医療機器の規制に取り入れ、2023年をめどに本格運用する方針を示している。SBOMを自動で作成できるJarvis 2.0は、これらの動向に対応する上でも大いに役立つ。「組み込みソフトウェアのサプライチェーンはより複雑化しており、リスク対策を行う上でSBOMによる管理がキーになるだろう」（大竹氏）。

SBOMとは（左）。SBOM活用の動向（右）［クリックで拡大］ 出所：マクニカ

　また、Jarvis 2.0のセキュリティテストツールとしての性能について、他社ツールと比較したベンチマーク結果も明らかにした。総ファイルサイズ10.16GB、総ファイル数4万5161個のバイナリコードについて、CVE（共通脆弱性識別子）検出数は約11％多い650件となり、診断時間は約4分の1となる45分で完了した。

「Jarvis 2.0」のベンチマーク結果［クリックで拡大］ 出所：マクニカ

　マクニカは、Jarvis 2.0と同社のSaaSである脆弱性リスクトリアージプラットフォーム「LeanSeeks」との組み合わせ提案なども検討しているという。

「Jarvis 2.0」と「LeanSeeks」との組み合わせ提案なども検討［クリックで拡大］ 出所：マクニカ

⇒その他の「組み込み開発ニュース」の記事はこちら