Code Security Managerは、静的アプリケーション・セキュリティ・テスト(SAST)と動的アプリケーション・セキュリティ・テスト(DAST)を開発の初期段階に統合し、開発者が使いやすいようCI/CD統合とソースコード・サポートを提供することで、堅牢な量産前セキュリティを実現します。
ソースコードからSBOMを生成するのは、エラーが発生しやすい手作業のプロセスです。その結果、セキュリティ・テストは開発プロセスの後半で行われることになり、脆弱性の発見が遅れて、修正にコストと時間がかかることになります。シフトレフトすることで、時間を節約し、コストを削減し、製品の品質とサイバーセキュリティの状態を向上させることができます。
UNR 155やISO/SAE 21434などのサイバーセキュリティ規制・標準の対象となる車両およびコンポーネント向け
設計プロセスの早い段階で、ソフトウェアの脆弱性を特定
早い段階で発見することで、ソフトウェアの脆弱性修正にかかるコストを大幅に低減
製品のサイバーセキュリティ状況を向上
PlaxidityX DevSecOpsの包括的なプラットフォームとの統合が可能
組織のワークフローとシームレスに統合し、リポジトリ、オートメーション、およびチケット発行のプラットフォームに接続
SBOMを自動的に抽出し、すべての依存関係とコンポーネントをマッピング
CVE、コードセキュリティ、標準、DASTなど、コードに影響を与えるリスクを検出
ソフトウェア開発ライフサイクルに直接統合され、発生したリスクに優先順位を付け、簡単に修正が可能
静的アプリケーションセキュリティテスト(Static Application Security Testing、SAST)の導入を義務付けている自動車業界の規格には何がありますか?
SASTは、国際的な自動車向けサイバーセキュリティ標準であるISO/SAE 21434およびUN R155(UNECEの自動車サイバーセキュリティ規制)において、重要なコンプライアンス要件として位置づけられています。これらの規格では、安全性が重要な車載システムにおけるリスクを軽減するために、厳密なコード検証が求められています。PlaxidityX Code Security ManagerのようなDevSecOpsツールを利用すれば、SASTを開発初期段階に統合することが可能となり、セキュアな車載ソフトウェア開発を効率的に進めることができます。
なぜSAST(静的アプリケーションセキュリティテスト)は自動車ソフトウェアのセキュリティにおいて重要なのですか?
SASTは、ソフトウェアのデプロイメント前にソースコードの脆弱性を解析し、バッファオーバーフローや安全でないデータ処理などを検出するツールです。これにより、ブレーキ制御やADAS(先進運転支援システム)などのセーフティクリティカルなシステムがセキュアであることを確認できます。現代の車両には数億行ものコードが搭載されており、SASTを活用することで、リコールや安全リスクにつながる脆弱性を、悪用される前に効率よく防ぐことができます。たとえば、エアバッグ制御用コードの脆弱性を早期に発見すれば、デプロイ後に修正する場合と比べて、修正コストを大幅に削減できます。
なぜ車載ソフトウェアの開発中にソースコードからSBOM(ソフトウェア部品表)を生成することが重要なのですか?
SBOMをソースコードから開発段階で生成することで、使用しているソフトウェアコンポーネントや依存関係を明確に可視化できます。これにより、セキュリティ上の脆弱性を早期に発見し、複雑なサプライチェーンの管理を効率化し、新たな脅威が発生した際に迅速に対応できます。つまり、リスク管理がスムーズになり、後工程での修正コストや対応時間を大幅に削減することが可能になります。
自動車ソフトウェア開発において、SAST(静的アプリケーションセキュリティテスト)ツールを用いたシフトレフトのセキュリティアプローチにはどのような利点がありますか?
SASTツールを活用したシフトレフトのセキュリティアプローチでは、開発の初期段階でセキュリティ上の脆弱性やコードの欠陥を検出し、修正することができます。量産前に対応できることで、修正コストを低く抑えつつ、迅速な対応が可能になります。また、コード品質の向上やソフトウェアの信頼性・安全性の確保にもつながるため、よりセキュアな車載ソフトウェアを実現します。自動化されたSASTチェックにより、開発プロセス全体が効率化され、後工程での予期しない不具合やリコールのリスクも低減されます。
「サイバーセキュリティは市場での差別化要因と考えており、PlaxidityXとのパートナーシップにより、当社の『デジタルシールド』サイバーセキュリティサービス製品を補完し、セキュアなソフトウェアとエレクトロニクスを提供するリーダーになるという目標達成に貢献すると確信しています。」
「プラクシディティ エックスとの提携により、当社のOEMおよびTier1顧客は、セキュリティを心配せずに新しい高性能Ajunic®プラットフォームを利用できます。プラクシディティ エックスの自動車サイバーセキュリティの専門知識と革新的なIDPS製品を活用することで、当社の不可欠なソフトウェア開発スタックの一部として市場をリードする車載保護機能を提供できるようになります。」
「PlaxidityX が持つ豊富な経験、知識、方法論、そして専門性が決め手になりました。PlaxidityX は、非常に短期間で最高品質の成果を提供し、納品してくれたため、当社のビジネス目標を達成する上で重要な役割を果たしました。」
「PlaxidityX の包括的なサイバーセキュリティソリューションの数々と卓越した戦略的技術パートナーシップが、同社のリーダー的地位確立に寄与しています。」
「PlaxidityXとの提携により、お客様が当社のテストプラットフォームを使ってサイバーセキュリティテストを実施できるようになりました。PlaxidityXのような強力で経験豊富なサイバーセキュリティサービスプロバイダーと提携できることを非常に嬉しく思います。」
「PlaxidityXが持つコネクテッドカーのセキュリティに関する専門知識と、MicrosoftのAzure AI機能を組み合わせることで、自動車業界全体におけるセキュリティの『シフトレフト』を加速させる又と無い機会を得ることができました。」
「PlaxidityXは、ContinentalのSDV戦略の重要な柱であり、セキュリティ・バイ・デザインのアプローチを実現する上で欠かせない存在です。自動車のサイバーセキュリティがクラウドへと移行する中で、PlaxidityXの最先端技術と実績あるVSOC機能は、お客様の『未来のニーズ』に応えるための競争力を私たちにもたらしています。」
Security AutoDesignerは、何十件もの自動車TARAプロジェクトで培った長年の経験、包括的な脅威データベース、最先端のAI技術を活用し、OEMとTier-1サプライヤーが車両とECUを保護し、ISO 21434とUNR 155に準拠するための詳細な脅威分析とリスク評価レポートを自動的に作成できるようにします。
SW Supply Chain Securityは、規制に準拠し、製品のセキュリティを確保するため、既知およびプライベート脆弱性について自動バイナリSBOMスキャンを実行します。
Security AutoTesterは、何百もの顧客プロジェクトに基づく自動車サイバーセキュリティに関するアルガスの広範な知見と専門知識を活用し、自動車OEMとサプライヤーの両方に対して、自動車ソフトウェア開発者がファジングテストやペネトレーションテストなどのエンタープライズレベルのセキュリティテストを実施することを可能にします。
