コネクテッドカーの規制対応やセキュリティに欠かせない「SBOM」:車載セキュリティ(3/3 ページ)
VicOneは「コネクテッドカー規制とSBOM」をテーマにオンラインでセミナーを開いた。Astemo、ティアフォー、VicOneから出席した立場の異なる3人の登壇者が、コネクテッドカーに求められるセキュリティとソフトウェア部品表(SBOM)について語った。
コネクテッドカー規制とSBOM
米国大統領令14028やEUのサイバーセキュリティレジリアンスアクトがSBOMの使用を求めており、米国のコネクテッドカー規制でも同様の要求がある。EUのサイバーセキュリティレジリアンスアクトは、ユーザーと消費者保護のため、脆弱性処理要件として製品の最上位レベルの依存関係を網羅する一般的な形式でのSBOM作成を要求する。
米国大統領令14028は重要インフラのセキュリティ堅牢化を目的としており、実務的な申請においてSBOMを求められるケースが多いという。SBOMの最低限の記録要件として、ソフトウェアコンポーネントの著作者名、サプライヤー名、タイムスタンプ、コンポーネント名、バージョン固有識別子の管理が要求される。
米国のコネクテッドカー規制においても、直接的なSBOM作成要件はないものの、対象ソフトウェアの著作者名やサプライヤー名、タイムスタンプ、コンポーネント名を記録することが要件として示されている。自動車メーカーは、これらの要件を満たすための必要書類のサプライヤーからの取得や評価のためにあらゆる措置を講じたことを証明という形式で宣言する必要がある。
今後、米国総務省と自動車メーカーのやりとりや情報共有でコネクテッドカー規制への対応が具体化していく見通しだ。具体例を交えて規制の定義を理解し、対象となるソフトウェアの範囲を線引きしていくことになる。また、「中国での開発」が完全子会社なら認められるのか、どのような開発の管理監督であれば認められるのかなど、引き続き情報収集が必要な領域も残っている。
ソフトウェアのサプライチェーン管理を社内のどの部門が担当するか、SBOMに必要なデューデリジェンスのプロセスや体制構築をどのように進めるのか、自動車メーカーとサプライヤーの商務省への報告責任の明確化なども必要になりそうだ。
SBOM脆弱性管理ツールを提供
VicOneでは、これらの環境を踏まえてSBOM脆弱性管理ツールを用意している。クラウド型のSaaSツールで、バイナリをアップロードしてSBOMを作成したり、SBOM事態をアップロードしたりすることができる。ハードウェアの部品表(BOM)との同時管理や、チケット管理システムとの連携も可能だ。
脆弱性情報は、VicOneの親会社であるトレンドマイクロが運営するコミュニティー「ゼロデイイニシアチブ」を通じて収集するデータに加えて、NVD/JVNなどのデータベースからも収集したものを提供する。多くの脆弱性を検出できるが、環境に応じて絞り込む機能があるため、脆弱性管理工数を削減できる。また、ゼロデイイニシアチブのデータベースと直接連携されているため、ゼロデイ脆弱性の発見から24時間以内に警告を受けることも可能だ。アプリケーションの動作分析により、マルウェアバックドアの解析も行える。
中国とロシアを警戒する規制を受けて、データベースを基に中国製/ロシア製のソフトウェアを特定する機能もSBOM脆弱性管理ツールに含まれている。
自動運転とサイバーセキュリティはセットで
ティアフォー AD Securityチーム マネージャーの伊藤史人氏が、OSSの活用が進む中でのSBOMを活用した脆弱性管理について説明した。同社は自動運転バス、ロボタクシー、工場内の自動搬送システムなど向けに自動運転ソフトウェアと、ハイパフォーマンスコンピュータなどハードウェアを開発しており、日本全国各地で実証実験を重ねている。
自動運転ソフトウェアを搭載した車両を公道で走らせる場合は道路交通法に従う必要があり、道路交通法でもサイバーセキュリティへの対応が求められている。そのため、自動運転システムの開発はサイバーセキュリティと密接にかかわっており、脆弱性管理にもティアフォーは取り組んでいる。
世に出ているサイバーセキュリティ情報の収集や、脆弱性の分類(トリアージ)、脆弱性がティアフォー製品にどのような影響を与えるかの判定などを行う。脆弱性の評価では、アーキテクチャや攻撃経路の分析、実際の攻撃可能性などを分析する。継続的なサイバーセキュリティ活動で最も重要なのは、脆弱性を特定、追跡し処置を監督するという一連の管理だと伊藤氏は説明する。リスクの許容度を見積もって対応を判断し、不合理なリスクが残らないように処置していくことも不可欠だという。
こうした工程において、ソフトウェアの資産目録としてSBOMを管理していくことが重要だとしている。実際に、社内ではVicOneのSBOM脆弱性管理ツールを活用しているが、ツール間の連携にはまだ課題が残っており、今後解決に取り組むという。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
米国大統領令とEUのCRAが示すソフトウェアサプライチェーンセキュリティとは
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。第1回は、米欧が唱えるソフトウェアサプライチェーンセキュリティの全体像と目的と併せて、製造業などでも増大しつつあるセキュリティインシデントを減らすための基本的な考え方を紹介する。
自動車メーカーとサプライヤーはどう連携してセキュリティに取り組むべきか
本連載では、2019年9月の改訂案をベースにOEMに課されるWP.29 CS Regulationsのポイントを解説し、OEMならびにサプライヤーが取り組むべき対応について概説する。目次は下記の通り。
自動車メーカーに選ばれるのは、セキュリティを理解したサプライヤーだ
本連載では、2019年9月の改訂案をベースにOEMに課されるWP.29 CS Regulationsのポイントを解説し、OEMならびにサプライヤーが取り組むべき対応について概説する。今回は自動車のサイバーセキュリティに必要な組織づくりや、開発フェーズでのプロセス構築について説明していく。
出荷後の車両や部品の脆弱性に、あなたの会社はどう行動すべきか
本連載では、2019年9月の改訂案をベースにOEMに課されるWP.29 CS Regulationsのポイントを解説し、OEMならびにサプライヤーが取り組むべき対応について概説する。前回は自動車のサイバーセキュリティに必要な組織づくりや、開発フェーズでのプロセス構築について紹介した。今回は生産フェーズ以降のサイバーセキュリティマネジメントシステム(Cyber Security Management System、CSMS)のプロセス構築について説明していく。
SBOMがあれば脆弱性管理は完璧……となるその前に
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は、セキュリティ観点でソフトウェアの部品管理「SBOM」に注目したいと思います。
日本におけるソフトウェアサプライチェーンセキュリティとSBOMの目的
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。第2回は、日本でのソフトウェアサプライチェーンセキュリティに関する取り組みの状況について紹介する。
ソフトウェア部品表「SBOM」に着目、米国FDAの医療機器市販前セキュリティ対策
本連載第80回で、米国食品医薬品局(FDA)の2022会計年度医療機器ガイドライン策定計画を取り上げたが、早速、市販前サイバーセキュリティ要求事項に関する草案が公開された。