今日のシステムはソフトウェアのリスクを適切に軽減できない - その理由
既知の脆弱性のみに注目
脆弱性は既知のオープンソースの脆弱性を超えて、ゼロデイの脆弱性や不正なオブジェクトにまで及んでいます。オープンソースの脆弱性のみに対処するだけでは、新たなソフトウェア定義車両の環境におけるリスクを軽減するには不十分です。
実用的ではない脆弱性の知見
制約があり不十分な修復情報により、自動車メーカ(OEM)やTier 1サプライヤーは、脆弱性の収集、評価、管理に多大な手作業に依存せざるを得ません。この方法は時間がかかるだけでなく、人的ミスのリスクも伴います。
不正確な SBOMへの対応に苦慮
脆弱性管理プラットフォームから自動生成されたソフトウェア部品表(SBOM)には、オープンソースコンポーネントのバージョンやパスの詳細が間違っているなどのエラーが含まれている可能性があります。このため、製品セキュリティチームは手動レビューに多大な時間を費やさざるを得ません。
自動車の脆弱性と SBOM管理システムの優位性
的確な優先順位付け
重要な脆弱性の上位10%に効率的にリソースを配分
独自の技術であるVicOne VVIR*(VicOne Vulnerability Impact Rating)を活用し、xZETAは、自動車メーカー(OEM)とTier 1サプライヤーがシステムに最も大きな影響を与える重要な10%の脆弱性に注力できるようにします。この革新的なアプローチは、システム環境や製品の使用シナリオなどの内部の知見と、当社独自の自動車向けスレットインテリジェンスから得られる外部の情報を組み合わせています。
*特許出願中
実践に結びつく有益情報
自動車脅威情報をいつでも入手可能
ISO/SAE 21434に準拠したxZETAは、世界中のサイバーセキュリティのインシデントやニュースを絶え間なく追跡し、関連する脆弱性と直接関連付ける自動車脅威情報データベースを提供します。これにより、OEMやTier 1サプライヤーは脆弱性の優先順位を正確に決定し、攻撃者が脆弱性を悪用する方法を理解し、必要なコンテクストとともに攻撃経路をマッピングすることができます。
正確なSBOM
不要な手作業を削減
ファイルパスの欠落、バージョンの誤り、パッケージ情報の欠落などの問題を含むSBOMを生成する脆弱性スキャンツールとは異なり、xZETAは正確なSBOMを提供します。xZETAはソフトウェアの内容そのものに着目するため、ソフトウェアのバージョンが関連する設定ファイルやドキュメントと一致していない場合でも、正しいバージョンを検出できます。さらに、xZETAはソフトウェア部品表だけでなくハードウェア部品表(HBOM)や暗号部品表(CBOM)もサポートしており、強固で完全な製品セキュリティ戦略を実現します。
供給元の特定
ソフトウェアの供給元を1か所で把握
米国は、国家安全保障を強化するために、懸念国から供給されたソフトウェアを搭載したコネクテッド車両に関する新たな規則を提案しています。xZETAは、ソフトウェアパッケージのサプライヤーと供給元の詳細情報を自動的に生成し、容易なトレーサビリティを実現します。
その他の製品機能
- バイナリ解析では、ソースコードを変更せずに分析を行うことができます。
- 既存のCI/CDプロセスと連携し、SBOMの抽出と脆弱性の監視を自動化することで、運用効率を向上させます。
- JiraやBlock Harborなどのサードパーティーのチケットシステムとシームレスに統合し、ケース管理を合理化します。ソリューションの概要を読む
- 調査後、CVSSスコアを修正することで、問題の重大度を変更できます。
- ファームウェア内の機密データを検出し、データ漏洩のリスクを軽減します。
- SBOMでオープンソースライセンスの可視性が得られ、コンプライアンスを確保できます。
- SPDXやCycloneDXなどの標準フォーマットでのSBOMエクスポートが可能で、OEMとの簡単な共有を促進し、NTIA SBOMの要件に準拠しています。
- 業界最大の脆弱性データベースによって強化された、ソフトウェア定義車両(SDV)におけるリスクに対する準備が整います。
- カスタマイズ可能なロールベースのアクセス制御(RBAC)により、ユーザー権限の管理を簡単に行えます。
xZETA FAQ
xZETAはどのような製品ですか?
xZETAは一般的な脆弱性スキャナーと比較してどのような違いがありますか?
VicOne Vulnerability Impact Rating(VVIR)とはどのような技術ですか?
xZETAはどの程度の精度でSBOMを生成できますか?
xZETAのソフトウェアサプライチェーンへのコンプライアンス対応タイオウ 支援について教えてください。
xZETAはどのようなコンプライアンスフレームワークに対応していますか?
xZETAの導入によって脆弱性対応にかかる時間はどの程度短縮されますか?
コラボレーション
金澤 幸司 様
仮に手動で脆弱性抽出を行った場合と比較して、70〜80%の作業工数短縮効果があったと試算しています。xZETAとVicOneのサポートがなければ、目標期日の達成は間違いなく不可能でした。
Tin T. Nguyen
監査員に対して効果的な脆弱性管理の能力を示すために、私たちはxZETAシステムを活用しています。これにより、UN R155の要件を満たすことに貢献しています。
YC Chang
xZETAシステムは、ほぼ即座に結果を提供し、製品開発の効率を大幅に向上させます。最近の例では、脆弱性のスキャンからパッチの展開まで、わずか2週間で行うことができました。これは、以前の6ヶ月という時間枠から大きな進歩です。
Jason Hsu
VicOne xZETAは、未知のサイバーセキュリティ脆弱性に迅速に対処し、当社のプロアクティブな管理と製品セキュリティを強化してくれます。
John Heldreth
専門的なAutoVulnDB CVEデータベースの構築にあたり、VicOneのサポートと業界をリードする専門知識に感謝しています。
リソースからもっと知る
自動車サイバーセキュリティの理解を深める
Mythos時代の次を見据えて:ファームウェア保護を「知的財産保護」から「攻撃面管理」へ再定義する
AIがバイナリ解析・弱点発見のコストを下げる今、署名だけでなく暗号化・鍵管理・実行時保護を一体設計し、流出前提の外部モニタリング体制を整備することが求められます。
続きを読む →
Mythosが変える脆弱性管理:CISOが今備えるべきVulnOpsとは
AIが脆弱性の悪用を加速する時代、月次パッチ対応では追いつかなくなります。CSAが提唱するVulnOpsの考え方と、CISO・経営層が今週・45日・12か月で備えるべきアクションを解説します。
続きを読む →
Mythosの先に来るもの:自動車メーカーとサプライヤーが今備えるべきこと
AIが攻撃経路の組み立てを加速する今、2026年7月に集中するGlasswing関連パッチに向けて、自動車・サプライヤーが優先順位付けと体制整備で取るべきアクションを解説します。
続きを読む →
AI時代の自動車サイバーセキュリティに求められる脆弱性管理の前提
生成AIはエクスプロイト開発を加速し、自動車業界の脆弱性管理の前提を変えつつあります。CVSS中心の運用の限界と、OEM・サプライヤーが今見直すべきPSIRT体制・設計原則・TARAを解説します。
続きを読む →