2022.11.15:自動車業界向けSBOM構築プラットフォームの共同開発について (MSYS)


株式会社ヴィッツ(本社:名古屋市中区 代表取締役社長:服部 博行 以下、ヴィッツ)と丸紅情報システムズ株式会社(本社:東京都新宿区 代表取締役社長:渡辺 亮一 以下、MSYS)は、自動車業界向けSBOM (Software Bill Of Materials)構築プラットフォームの共同開発事業(以下、本事業)を開始します。

SBOMとは?

昨今のソフトウェアは、非常に多くのOSS (Open Source Software) を利用していることから、悪意のあるコードを含むOSSを利用したことによるハッキング被害や、OSSのライセンス使用違反などによる損害などの問題が発生しています。対策として、米国ではソフトウェアサプライチェーンの安全性を高めるために、SBOM導入に関する大統領令が発行されています。日本においても、経済産業省の「サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース」において、SBOMの実証に向けた取り組みが始まっています。

自動車業界に求められるSBOM

OSSは自動車の制御を行うECU(Electric Control Unit)への利用率がいまだ低く、多くはプロプライエタリソフトウェア(※)と言われる自社開発によるものが主流となっています。そのため、自動車業界では現在市場で流通が始まっているOSSの管理を目的としたSBOMだけではなく、プロプライエタリソフトウェアも含めたSBOMの管理が必要です。また、今後車両の型式認証を得るためには、2021年1月に施行されたUN-R155 サイバーセキュリティ法規に適合する必要があり、OSSやプロプライエタリソフトウェアに関わらず、車両に搭載されるソフトウェアの設計/評価エビデンスを認証当局に開示し、サイバーセキュリティ対策の妥当性を説明する必要があります。

このような背景から、自動車業界ではOSSのみならず、サプライチェーンを通じて開発されるプロプライエタリソフトウェアも含めたSBOMの管理と、開発エビデンスの管理双方が必要となり、それらが相互に連携され、効率的に管理できるプラットフォームが求められています。

※プロプライエタリソフトウェア:OSSの対義語として使われる。「利用者の権限が制限されたソフトウェア」を指す。

2022115 MSYS 1


本事業の目的

OSSとプロプライエタリソフトウェアの統合管理を目的としたSBOM構築プラットフォームを開発し、自動車業界へのSBOM普及を牽引していくことを目指します。自動車に搭載されるソフトウェアの設計/評価エビデンスを、サプライチェーンを通じて厳密に管理できるSBOM構築プラットフォームの開発に向けて、以下の取り組みを実施しています。

①自動車業界向けSBOM管理ツールの整備と導入支援

②ソフトウェア開発におけるサイバーセキュリティ対策ツールの整備と導入支援

脆弱性分析ツールの整備と導入支援サービスの提供

ヴィッツは、サイバーセキュリティ対策ツール整備の一環として、脆弱性分析ツール(以下、本ツール)の開発を進めています。本ツールは、自動車のECUの設計に潜在する脆弱性を洗い出し、リスクの大きさを評価する機能を搭載しています。

本ツールを利用することのメリット :

  • 本ツールで作成したエビデンスを直接SBOMと連携することが可能
    本ツールとSBOMと連携させることで、ソフトウェアの実体と開発エビデンスを一括で管理することができ、ヒューマンエラーによる内容やバージョンの不整合を防止します。
  • 脆弱性分析結果をデータベース化し、ノウハウとして活用することが可能
    脆弱性分析の結果をデータベースに登録しておくことで、過去に別の製品で考慮した脅威、脆弱性、およびサイバーセキュリティ対策などの情報を、本ツールから呼び出して活用することや、分析のノウハウを部署間で共有することができます。

共同開発について

ヴィッツは、自動車サイバーセキュリティに関する技術を活かし、教育セミナーの実施、規格解説書などのコンテンツの提供、および、コンサルティングなどのビジネスを行っています。MSYSは、自動車業界への3Dプリンターや計測機器などの供給実績と、クラウドツールの開発・保守・運用を一貫してサービス提供できる体制を持っています。

ヴィッツはSBOMおよびサイバーセキュリティに対応するソフトウェア開発ツールと、導入支援サービスを提供し、MSYSは製品・サービスのクラウドソリューション化、およびヴィッツのコンサルティングを組み合わせたソリューションを提供することで、お客様のニーズに対して効果的なサービスを提供していく予定です。

*文中の製品名および会社名は、各社の商標または登録商標です。

*ニュースリリース記載の情報は発表日現在の情報であり、予告なく変更される場合があります。

本件の参照先:https://www.marubeni-sys.com/information/article/20221115.html

全ての内容は、固有に記載のあるものを除き所有権は当サイトオーナー、メタリンク株式会社に帰属します。
AIを含む如何なる形式での再利用、複製、また再配布はくれぐれもご注意ください。
All contents, unless otherwise stated are copyright MetaLinc K.K.
So not reuse, redistribute, or duplicate in in any format or way, including AI.
© 1995-2023 MetaLinc K.K.  - メタリンク株式会社