今日のシステムはソフトウェアのリスクを適切に軽減できない - その理由

既知の脆弱性のみに注目

既知の脆弱性のみに注目

脆弱性は既知のオープンソースの脆弱性を超えて、ゼロデイの脆弱性や不正なオブジェクトにまで及んでいます。オープンソースの脆弱性のみに対処するだけでは、新たなソフトウェア定義車両の環境における リスクを軽減するには不十分 です。

実用的ではない脆弱性の知見

実用的ではない脆弱性の知見

制約があり不十分な修復情報により、自動車メーカ(OEM)やTier 1サプライヤーは、脆弱性の収集、評価、管理に多大な 手作業 に依存せざるを得ません。この方法は時間がかかるだけでなく、人的ミスのリスクも伴います。

SBOMへの対応に苦慮

不正確な
SBOMへの対応に苦慮

脆弱性管理プラットフォームから自動生成されたソフトウェア部品表(SBOM)には、オープンソースコンポーネントのバージョンやパスの詳細が間違っているなどの エラーが含まれている可能性があります。このため、製品セキュリティチームは手動レビューに多大な時間を費やさざるを得ません。

自動車の脆弱性と
SBOM管理システムの優位性

`



優れた網羅性

優れた網羅性

27%広い検出範囲で死角を排除

既知のオープンソースの脆弱性のみに対処する従来の脆弱性管理プラットフォームとは対照的に、xZETAは、ゼロデイ、非公開、既知の脆弱性、共通脆弱性タイプ一覧(CWE)、標的型サイバー攻撃(APT)*、ランサムウェア*に対して優れた可視性を提供します。当社の脅威インテリジェンスは、国家脆弱性データベース(NVD:National Vulnerability Database)を27%上回り、より幅広い検出範囲を提供します。

*特許出願中

的確な優先順位付け

的確な優先順位付け

重要な脆弱性の上位10%に効率的にリソースを配分

独自の技術であるVicOne VVIR*(VicOne Vulnerability Impact Rating)を活用し、xZETAは、自動車メーカー(OEM)とTier 1サプライヤーがシステムに最も大きな影響を与える重要な10%の脆弱性に注力できるようにします。この革新的なアプローチは、システム環境や製品の使用シナリオなどの内部の知見と、当社独自の 自動車向けスレットインテリジェンスから得られる外部の情報を組み合わせています。

*特許出願中

供給元の特定

供給元の特定

ソフトウェアの供給元を1か所で把握

米国は、国家安全保障を強化するために、懸念国から供給されたソフトウェアを搭載したコネクテッド車両に関する新たな規則を提案しています。xZETAは、ソフトウェアパッケージのサプライヤーと供給元の詳細情報を自動的に生成し、容易なトレーサビリティを実現します。

正確なSBOM

正確なSBOM

不要な手作業を削減

ファイルパスの欠落、バージョンの誤り、パッケージ情報の欠落などの問題を含むSBOMを生成する脆弱性スキャンツールとは異なり、xZETAは正確なSBOMを提供します。xZETAはソフトウェアの内容そのものに着目するため、ソフトウェアのバージョンが関連する設定ファイルやドキュメントと一致していない場合でも、正しいバージョンを検出できます。

実践に結びつく有益情報

実践に結びつく有益情報

自動車脅威情報をいつでも入手可能

ISO/SAE 21434に準拠したxZETAは、世界中のサイバーセキュリティのインシデントやニュースを絶え間なく追跡し、関連する脆弱性と直接関連付ける自動車脅威情報データベースを提供します。これにより、oemやtier-1サプライヤーは脆弱性の優先順位を正確に決定し、攻撃者が脆弱性を悪用する方法を理解し、必要なコンテクストとともに攻撃経路をマッピングすることができます。

その他の特長


  • バイナリ解析では、ソースコードを変更せずに分析を行うことができます。
  • 既存のCI/CDプロセスと連携し、SBOMの抽出と脆弱性の監視を自動化することで、運用効率を向上させます。
  • JiraやBlock Harborなどのサードパーティーのチケットシステム とシームレスに統合し、ケース管理を合理化します。 - ソリューションの概要を読む
  • 調査後、CVSSスコアを修正することで、問題の重大度を変更できます。
  • ファームウェア内の機密データを検出し、データ漏洩のリスクを軽減します。
  • SBOMでオープンソースライセンスの可視性が得られ、コンプライアンスを確保できます。
  • SPDXやCycloneDXなどの標準フォーマットでのSBOMエクスポートが可能で、OEMとの簡単な共有を促進し、NTIA SBOMの要件に準拠しています。
  • 業界最大の脆弱性データベースによって強化された、ソフトウェア定義車両(SDV)におけるリスクに対する準備が整います。
  • カスタマイズ可能なロールベースのアクセス制御(RBAC)により、ユーザー権限の管理を簡単に行えます。

コラボレーション

Tin T. Nguyen

VinCSSの自動車サイバー
セキュリティ部門のディレクター

監査員に対して効果的な脆弱性管理の能力を示すために、私たちはxZETAシステムを活用しています。これにより、UN R155の要件を満たすことに貢献しています。
パートナーのストーリーを読む 体験談を視聴する プレスリリースを読む

YC Chang

Askey社自動車製品部門
シニアディレクター

xZETAシステムは、ほぼ即座に結果を提供し、製品開発の効率を大幅に向上させます。最近の例では、脆弱性のスキャンからパッチの展開まで、わずか2週間で行うことができました。これは、以前の6ヶ月という時間枠から大きな進歩です。
パートナーのストーリーを読む 体験談を視聴する プレスリリースを読む

Jason Hsu

Primaxのコネクテッド・
モビリティ事業部のバイスプレジデント

VicOne xZETAは、未知のサイバーセキュリティ脆弱性に迅速に対処し、当社のプロアクティブな管理と製品セキュリティを強化してくれます。
パートナーのストーリーを読む 体験談を視聴する プレスリリースを読む

John Heldreth

Automotive Security Research Group (ASRG)
創設者

専門的なAutoVulnDB CVEデータベースの構築にあたり、VicOneのサポートと業界をリードする専門知識に感謝しています。
AutoVulnDBを訪問する プレスリリースを読む

xZETAを選択する理由

脆弱性レポートにおけるグローバルリーダー

トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative (ZDI) 」* の支援を受けてVicOneは、自動車のゼロデイ脆弱性に関する独自のインテリジェンスを提供しています。特に、コネクテッドカーとEV充電器における49件のゼロデイ脆弱性をわずか3日間で発見しました。

*2007年以降、脆弱性発見数第1位
出典: Omdia Research, Quantifying the Public Vulnerability Market: 2024 Edition

真の意味での法規制適合性

xZETA は、自動車メーカー(OEM)やTier1サプライヤーが ISO/SAE 21434 および UN-R155 コンプライアンスを迅速に達成し、業務効率を向上させるのに貢献します。

オープンソースセキュリティエキスパート

VicOneは、Linux Foundationの一部であるオープンソースセキュリティファウンデーションのメンバーとして、自動車産業におけるオープンソースソフトウェアのセキュリティ向上に取り組んでいます。

30年以上に及ぶスレットインテリジェンス

xZETAは、トレンドマイクロが30年以上にわたって蓄積してきたサイバーセキュリティの専門知識を活かし、深い知見と実行可能なインテリジェンスを提供します。これにより、迅速に必要なセキュリティ対策が実現できます。

VicOneが受賞した各種アワード

Japan Automotive Cybersecurity Competitive Strategy Leadership Award
Japan Automotive Cybersecurity
Competitive Strategy Leadership Award
Best Threat Intelligence Technology
Best Threat
Intelligence Technology
Overall Charging Station Innovation of the Year
Overall Charging Station
Innovation of the Year



リソースからもっと知る

自動車サイバーセキュリティの理解を深める

詳細

自動車業界のお客さまのサイバーセキュリティを加速させるために

デモの依頼