出荷後にクルマ全体のソフトウェア脆弱性リスクを分析、パナソニックASが新技術：車載セキュリティ

パナソニック オートモーティブシステムズは、パナソニック ホールディングスと共同で、出荷後の車両ソフトウェアのセキュリティ脆弱性により生じるリスクを分析する「VERZEUSE for SIRT」を開発した。

[MONOist]

　パナソニック オートモーティブシステムズは2024年9月9日、パナソニック ホールディングスと共同で、出荷後の車両ソフトウェアのセキュリティ脆弱（ぜいじゃく）性により生じるリスクを分析する「VERZEUSE for SIRT（Security Incident Response Team）」を開発したと発表した。

　コネクテッドカーの普及が進むにつれて、自動車に対するサイバー攻撃のリスクが増大している。特に最近ではオープンソースソフトウェア（OSS）を中心に車両ソフトウェアの脆弱性報告件数が増加傾向にあり、車両がさらにソフトウェアディファインドビークル（SDV）に進む中で、脅威は増加傾向にある。

　自動車業界では、サイバー攻撃から車両を防御、監視するための仕組み作りが求められており、車両の出荷後についても、搭載されているソフトウェアに新たな脆弱性が発見されていないかを継続的に監視する必要が出てきている。ただ、日々数多く発生する脆弱性にはセキュリティリスクの高いものと低いものが混在している。また、車両は多数のECUで構成されており、個々のECUにそれぞれのソフトウェアが搭載され、搭載されるECUによりセキュリティリスクが変わってくる。そのため、膨大な脆弱性情報から車両全体にとってセキュリティリスクの高い脆弱性を適切に抽出し、対応していくことが求められている。

　こうしたニーズに応え、パナソニック オートモーティブシステムズとパナソニック ホールディングスはVERZEUSE for SIRTを開発した。VERZEUSE for SIRTは、設計時の車両のセキュリティ脅威分析の結果や各ECUに搭載されたソフトウェアのリストであるSBOM（Software Bill of Materials）、各ECU間の接続情報を用いて、独自の分析アルゴリズムにより、想定されるサイバーセキュリティ攻撃の経路と影響を算出するものだ。ECU単体ではなく、車両全体でセキュリティリスクを分析できる点を特徴としている。

「VERZEUSE for SIRT」の役割［クリックで拡大］ 出所：パナソニック オートモーティブシステムズ

　VERZEUSE for SIRTの脆弱性分析は、ISO/SAE 21434に準拠してプロセス結果を保存し、監査の証跡としても使用できる。また、パナソニックグループが工場や、家電、IoT（モノのインターネット）機器などから収集した脅威情報を蓄積した「サイバーセキュリティインテリジェンス」と連携し、セキュリティリスク判定の精度を向上させているという。

　パナソニック オートモーティブシステムズでは、VERZEUSE for SIRTを「ITS世界会議2024ドバイ」（2024年9月16〜20日）に出展する予定としている。

≫「車載セキュリティ」についてのその他の記事