本記事では、自動車業界を取り巻く主要な法規(UN-R155、サイバー・レジリエンス法(CRA)、無線機器指令(RED)など)と、その対応策として注目を集めるSBOM(ソフトウェア部品表)の重要性について解説します。 併せて、SBOM運用で生じる3つの課題や、SBOMツール選定時に考慮すべきポイント、そしてVicOneが提供する「xZETA」の特徴と導入効果を整理しています。
自社のセキュリティ強化・法規対応を考える際の参考にぜひご覧ください。
SBOMの背景と法規制の動向
急速に進む自動車や周辺インフラのデジタル化、コネクテッド化に伴い、様々なサイバーセキュリティ関連法規が登場しています。その代表的な例が、自動車のサイバーセキュリティ法規UN-R155、デジタル要素を含む製品のサイバーセキュリティ向上を目的としたサイバー・レジリエンス法(CRA)、無線機器の安全性やサイバーセキュリティ確保を目的とした無線機器指令(RED)となります。
これら法規を満たすには様々なサイバーセキュリティに関する取組が必要となりますが、共通してSBOMの管理が重要とされています。
【具体的な法規の解説はこちらをご覧ください】
SBOMの取組における課題・問題点
SBOMの取組を進めて行く中で、次のような3つの課題があります。
法規制・標準化の課題
先述の通り、自動車関連においても整備が進みつつあります。しかしながら、SBOMにおけるグローバルな連携や国間の相互運用性を高める取組はまだまだ進んでいません。
組織・体制に関する課題
SBOMを各企業が活用していくためには、人の育成とリソースの確保、組織内での責任と役割の明確化、また、企業間でのサプライチェーン全体での活用に向けた合意形成や協力が必要です。
システム等の技術に関する課題
ソフトウェアサプライチェーンが複雑化する中で、正確かつ網羅的なSBOMを生成することが困難となっています。また、SBOMの形式についても、SPDXやCycloneDXなど標準化が不十分であり、ツール間で互換性に課題が生じています。そして、生成したSBOMを継続的に管理するためのツールも十分に揃っていません。
上記のような課題を解決するためには、法規制の整備、人材育成、国際的な協力、そして、技術開発といった多岐にわたる取組が必要となります。
SBOMツール選定時に考慮すべき5つのポイント
SBOMを運用・管理していく上で、専用のツールを用いることで、業務負荷を軽減し、効率的に取り組んでいくことが可能となります。そのツール選定時に5つの点を考慮する必要があります。
対応するSBOM形式
SPDX、CycloneDXなど、可能な限り標準的なSBOM形式がサポートされていることを確認する必要があります。
対応するファームウェア
Linux、Android Automotive OS、QNXなど、どのような形式に対応しているかを確認する必要があります。
機能
SBOMの生成、管理、分析など必要な機能が備わっているか確認が必要です。特に、SBOMツールにおいては、SBOMの生成時の精度が極めて重要です。理由としては、SBOM情報は、多くの場合、脆弱性管理に応用されるため、生成したSBOMが正しくなければ、正確な脆弱性管理は出来ません。
統合・連携性
多くの企業では、単品でSBOMツールを活用することは少なく、ソフトウェアライセンス管理ツール、チケットシステムなどの周辺システムと同時に利用します。そのため、これら周辺システムと統合や連携が可能か、開発が必要な場合に柔軟に対応できるか等の考慮が必要です。
使いやすさ
日々、このツールを用いて管理を行っていくにあたり、操作性やUIが優れているか、場合によっては、ユーザー希望のカスタマイズが可能かを考慮する必要があります。
VicOne「xZETA」が提供するSBOM生成・脆弱性管理
VicOneではxZETAというSBOM生成から脆弱性管理まで可能なツールをご提供しています。xZETAは以下のような特徴的な機能を有しています。
- VicOneではxZETAというSBOM生成から脆弱性管理まで可能なツールをご提供しています。xZETAは以下のような特徴的な機能を有しています。
- SBOM生成
- HBOMの取込
- ライセンス管理
- ゼロデイを含む広範な脆弱性データベースを用いた脆弱性管理
- 脆弱性に関するオリジナルの優先順位付け(VVIR)
- 定期的な脆弱性チェックとアラート
- チケットシステム等の他システムとの連携
- VicOneが提供するxCarbon(車載機器向けIDS/IPS)、xNexus(VSOC Platform)等との連携と統合的なセキュリティ管理
xZETAはSBOMツールで求められる要素を網羅的にカバーしています。
SBOMツール導入プロセスと導入時のポイント
SBOMツールを導入する際、チケットシステム等の周辺システムとの連携が必須となる場合が多く発生しますが、xZETAは既存の他システムとの連携機能に加え、対応出来ていない場合でも、追加・拡張開発により柔軟に対応します。
また、導入後のテストにおいて、前述の通り、SBOMの生成結果・精度について完全性を求めることは非常に難しいのが実情です。VicOneでは、その際の改善要望に対し、可能な限り早期に改善・修正を行うことが可能です。
SBOMツール導入後の期待効果
xZETA等のSBOM生成・脆弱性管理ツールを導入することで、主に、以下のような3つの効果が期待できます。
脆弱性管理の強化
SBOMにより、ソフトウェアの構成要素が明確になるため、脆弱性情報との照合が容易になり、脆弱性に対して迅速な対応が可能となります。また、手動での管理に比べ、脆弱性管理活動に要する時間とコストを削減することが可能です。
ソフトウェアサプライチェーンの透明性向上
ソフトウェアの構成要素を可視化することで、サプライチェーン全体で個別のコンポーネント等へのセキュリティリスクを把握することが可能となります。
開発における効率改善
開発段階から脆弱性やリスクを考慮することで、早期にセキュリティ対策を講じることが可能です。
まとめ:SBOMの重要性:UN-R155・CRA・無線機器指令への対応と自動車業界の課題
自動車業界は本格的なSDV普及へ業界全体のフェーズが進展しつつあります。自動車に対してソフトウェアの占める割合、重要性が大きくなる中、SBOMや脆弱性の管理は極めて重要な企業活動となっていくと考えられます。
また、別の観点では、ソフトウェアのサプライヤー管理の重要性も日々高まっています。アメリカは、中国やロシア製のソフトウェアやハードウェアが搭載されたコネクテッドカーの輸入や販売を禁止すると発表しました。規制は段階的に適用されますが、ソフトウェアについては2027年販売のモデルから適用開始となる予定です。
これは、自動車メーカーにとって、アメリカでの自動車ビジネスを継続するために管理が必須となったことを意味し、SBOMについて、更に踏み込んだ、詳細な管理をしていくことが求められています。
VicOneは市場のニーズをキャッチアップし、お客様に役立つ機能・サービスを拡充していきます。VicOneのSBOM生成・脆弱性管理ツール『xZETA』を是非お試しください。
リソースからもっと知る
自動車サイバーセキュリティの理解を深める
