コネクテッドカーの規制対応やセキュリティに欠かせない「SBOM」:車載セキュリティ(2/3 ページ)
VicOneは「コネクテッドカー規制とSBOM」をテーマにオンラインでセミナーを開いた。Astemo、ティアフォー、VicOneから出席した立場の異なる3人の登壇者が、コネクテッドカーに求められるセキュリティとソフトウェア部品表(SBOM)について語った。
組織の業務管理にはサプライチェーンも含まれる
「組織の業務管理」にはサプライチェーンも含まれている。サプライチェーンの管理においてもセキュリティの強化が求められる中で、カギを握るのはSBOMだ。サプライチェーンはグローバルに展開されており、調達先も多岐にわたる。ソフトウェアも調達する“部品”の1つで、構成要素の1つがサイバー攻撃の対象になるだけでもサプライチェーン全体がリスクにさらされる。そのため調達する側がソフトウェアの構成を把握することが重要になっている。
UN-R155やISO 21434ではSBOMを使うことまでは明言していないが、萱島氏は「いずれスタンダードになっていくのではないか」と述べた。現時点でも、米国大統領令14028や、EUのサイバーセキュリティレジリアンスアクト(CRA)がSBOMの使用を要求しており、日本でもガイドラインが発行されている。また、ISO 21434の第2版でSBOMの扱いが具体化される可能性もある。
こうした状況を受けて、日本の自動車業界でもセキュリティへの対応が強化されている。自動車メーカーが参加する日本自動車工業会がサイバーセキュリティガイドラインの策定など業界全体の司令塔になっている。サプライヤーに関しては、日本自動車部品工業会が自工会と連携して活動している。
ソフトウェアプラットフォームやアーキテクチャの標準化やガイドラインを作っているのがJasParだ。自動車技術会は、自動車がかかわるサイバーセキュリティの国際規格の策定や審理への参画、講座による自動車業界のセキュリティスキル底上げに取り組んでいる。セキュリティの運用面では、J-Auto-ISACが米国のAuto ISACと連携して情報の共有や分析を行う。
SBOMに関しても、これらの自動車業界の団体が連携している。国際法規への対応、無線ネットワークによるアップデート(OTA:Over-The-Air)の処理にSBOMを活用する技術的な検討、脆弱性対応にSBOMを利用するガイダンスの検討などをそれぞれの団体が分担して推進しているという。
ただ、SBOMでどのフォーマットを使うか、データにどのタグを含めるかなど具体的な活用については決まっていないところが多い。ソースコードが入手できずSBOMに反映しにくいコンポーネントの扱いの他、データの互換性やSBOMの更新などの課題も残っている。
SBOMはセキュリティだけでなくオープンソースソフトウェア(OSS)のライセンス管理でも重要になる。「SBOMの本格的な利用はこれからだが、さまざまな団体がSBOMの利用を後押しする技術や学習の場を検討しているので検討してほしい」と萱島氏は講演を締めくくった。
米国の「コネクテッドカー規制」とは
VicOne ビジネス開発部 セールスグループ ディレクターの佐々木佑輔氏は、米国のコネクテッドカー規制への対応について説明した。
米国では2021年1月に情報通信サービスサプライチェーンの保護規則が発行された。通信システムやコンピュータサービス、AI(人工知能)、機械学習、ロボティクスなどに使用されるハードウェア/ソフトウェアの取引を管轄する米国商務省が、国家安全保障の保護を目的にケースバイケースでリスクを評価して規制するための規則だ。この下位規則にコネクテッドカー規則があり、コネクテッドカーから中国/ロシア関連のソフトウェアとハードウェアを排除することを目的に2025年3月に施行された。
コネクテッドカー規則で対象となるのは約4500kg未満の自動車だ(建設機械、農業機械、鉄道などは対象外)。車両通信システムや自動運転システムに使用するソフトウェアとハードウェアが対象で、ソフトウェアに関しては2027年モデル(2026年3月17日より前に設計/開発/製造されたモデル)から、ハードウェアに関しては2030年モデルから規制が適用される。
毎年、自動車メーカーが米国商務省に適合を自己宣言することで承認されるが、サプライチェーンに対するデューデリジェンスやエビデンスを記録し、文書化することが求められる。サプライヤーの協力も必要だ。記録は10年間の保管義務があり、要請に応じて提出する義務がある。違反した場合は刑事罰の対象となり、100万ドル以下の罰金が科される。自然人の場合は20年以下の禁固刑、またはこれらの禁固刑と罰金の両方が科されるという。
対象となるソフトウェアは、アプリケーションやミドルウェア、システムソフトウェア、OSSで、車両通信システムや自動運転システムを直接的に可能にするものだ。車両通信システムは、450MHzを超える無線通信システム、自動運転システムはレベル3以上のシステムが該当する。
Copyright © ITmedia, Inc. All Rights Reserved.