BISコネクテッドビークル規則とは？ SBOM対応とソフトウェアサプライチェーン透明性の新要件

要約

中国またはロシア由来のソフトウェアの使用を禁止する米国商務省産業安全保障局（BIS）のコネクテッドビークル規則により、自動車OEMは車両に搭載されるすべてのソフトウェアコンポーネントの由来を証明することが求められています。2027年の施行期限が迫る中、この規則への対応には、Software Bill of Materials（SBOM）の可視化と自動化されたサプライチェーン分析が不可欠となっています。PlaxidityXは、Software Supply Chain Security（SSCS）ソリューションを提供しており、規制対象となるコンポーネントを特定し、コンプライアンス対応に必要な証跡を効率的に生成できるよう自動車メーカーを支援しています。これにより、米国をはじめとする各国で進化する規制要件に対し、自動車メーカーが対応できるようサポートします。

来年初頭から、中国またはロシアに関連するソフトウェアを搭載したコネクテッドビークルの販売・輸入が、米国市場において禁止されます。この規制の背景には、より大きな地政学的な対立がありますが、その影響はすでに自動車メーカーの開発・製造現場に及び始めています。

2025年3月17日に施行された米国商務省産業安全保障局（BIS）のコネクテッドビークル最終規則により、ソフトウェアの「生産国（Country of Origin）」は、ソフトウェア自体の品質や機能と同じくらい重要な要素となりました。安全規制やサイバーセキュリティ規制への対応に追われる自動車メーカーやTier 1サプライヤーにとって、「このソフトウェアは安全か」だけではなく、「このソフトウェアはどこで開発され、どのような経路で供給されたのか」を証明することが求められるようになります。

この規則の施行により、自動車メーカーによるサプライチェーンの管理・監査のあり方は大きく変わる可能性があります。

BISコネクテッドビークル規則とは

「BIS Rule – Securing the Information and Communications Technology and Services Supply Chain: Connected Vehicles（ICTSサプライチェーン保護に関するコネクテッドビークル規則）」は、コネクテッドビークルおよびそのサプライチェーンに関連する国家安全保障上のリスクを軽減することを目的として策定された規制です。特に、敵対国によるデータの不正取得（データ流出）や、車両の遠隔操作といった脅威への対策を主な対象としています。

この最終規則では、中国またはロシアの企業によって設計・開発・供給されたハードウェアおよびソフトウェアは、乗用車のVehicle Connectivity Systems（VCS：車両通信システム）およびAutomated Driving Systems（ADS：自動運転システム）搭載することを禁止しています。また、ソフトウェアに関しては、2026年3月17日以降に設計または製造されたソフトウェアサブコンポーネントにも適用されます。

規制への適合を証明するため、自動車メーカーやサプライヤーには、サプライチェーンに対する調査・検証活動の実施、適合宣言書（Declaration of Conformity）の提出、さらにコンプライアンス関連文書の最長10年間の保管が求められます。

自動車メーカーが直面するコンプライアンス上の課題 ― 2027年に向けた時間との戦い

ソフトウェアに関する禁止措置は2027年モデルイヤーの車両から適用され、ハードウェアに関する禁止措置は2030年モデルイヤーから適用されます。しかし、多くの2027年モデル車両はすでに設計段階を終えているため、サプライチェーンのコンプライアンス監査に着手する時間は残されていません。対応は今すぐ始める必要があります。

前述のとおり、この規則ではメーカーに対し、適合宣言書の提出に加え、VCSおよびADSに含まれるソフトウェアのサブコンポーネントが、中国またはロシアに由来しないことを証明するエビデンスの提示を求めています。では、自動車メーカーはどのようにしてその証拠を収集・提示すればよいのでしょうか。

ここに、この規則に対応するうえで最大の課題があります。一般的なソフトウェア・デファインド・ビークル（SDV）には50〜100個程度のECU（電子制御ユニット）が搭載されており、それぞれのECUには多数のサプライヤーから提供された数十種類ものソフトウェアライブラリが含まれています。自動車業界のサプライチェーンは非常に複雑であるため、自動車メーカーやTier 1サプライヤーであっても、下位サプライヤーから提供されるコンポーネントの内部にどのようなソフトウェアが含まれているのかを完全に把握できていないケースが少なくありません。さらに、今日のSDVは数億行規模のコードで構成される高度なソフトウェアシステムを搭載しており、人手による監査でソフトウェアの出所を追跡することは現実的ではありません。

実際には、規制対象となるソフトウェアはサプライチェーンの深い階層に埋もれている可能性があります。そのため自動車メーカーには、UN R155で義務付けられている脆弱性スキャンと同様に、禁止対象となる組織によって開発されたソフトウェアを特定できる高度な解析ツールが必要になります。問題のあるコンポーネントを特定し、レポートとして可視化できれば、自動車メーカーは該当サプライヤーに対して修正版への更新や代替コンポーネントへの置き換えを要求することが可能になります。つまり、コンプライアンス対応を実現するためには、サプライチェーン全体にわたるソフトウェア構成の可視化と継続的な監査体制の構築が不可欠なのです。

PlaxidityX SSCSがコンプライアンス対応の課題を解決

PlaxidityXのSoftware Supply Chain Security（SSCS）は、ソフトウェア開発から市場投入後の車両運用まで、ソフトウェアサプライチェーン全体を対象とした脆弱性管理を実現するソリューションです。高度なソースコード解析とバイナリ解析を単一のプラットフォーム上で統合し、自動車メーカーやTier 1サプライヤーが脆弱性を迅速かつ効果的に特定・管理できるよう支援します。この機能は、UN R155、ISO/SAE 21434、さらにはEU Cyber Resilience Act（CRA）といったサイバーセキュリティ規制・標準への対応を進めるうえで重要な役割を果たします。

しかし実際には、自動車メーカーが脆弱性管理に必要な情報（SBOMなど）へアクセスできないケースが少なくありません。また、サプライヤーには「安全な」ソフトウェアを提供する法的義務がない場合もあります。その結果、複数のサプライヤーによって開発された数多くのコンポーネントに含まれるソフトウェアの実態を把握することが難しく、自動車メーカーが車両全体のソフトウェアセキュリティを保証するうえで大きな障壁となっています。SSCSは、この課題を解決するために、ソースコード及びコンパイル済みバイナリからSBOMを生成します。AUTOSAR、Linux、Androidなど幅広いプラットフォームに対応しており、サードパーティ製ソフトウェアやブラックボックス化されたサプライヤー製コンポーネントに含まれるリスクを可視化できます。

さらに、BISコネクテッドビークル規則への対応を支援するため、PlaxidityXはSSCSに新たなコンプライアンス機能を追加しました。この機能では、生成されたSBOMを米国商務省のBIS Entity ListおよびConsolidated Screening List（CSL）と自動照合し、規制対象となる企業や地域に由来するコンポーネントを迅速に検出します。ソースコードとコンパイル済みバイナリからSBOMを抽出し、規制対象のソフトウェアコンポーネントを即座に特定し、可視化することが可能です。これは単なるサイバーセキュリティ対策ではありません。自動車メーカーやTier 1サプライヤーが米国市場への参入に必要な適合宣言書を作成するための証跡を作成し、BIS規則へのコンプライアンスを効率的に実現するための基盤となるものです。

グローバルに広がる規制の流れ ― 欧州のリスクベースアプローチ

米国のBISコネクテッドビークル規則は非常に明確な形で規制要件を示していますが、欧州でも同様の方向性が進んでいます。ただし、そのアプローチは特定の国や企業を直接指定するのではなく、「リスクベース」の考え方に基づいています。こうした動きは、主に以下の規制や政策によって推進されています。

EU Cyber Resilience Act（CRA）

EU Cyber Resilience Act（CRA）では、SBOMの提供と脆弱性報告が法的義務となり、「セキュリティ・バイ・デザイン」の考え方が強く求められています。対象製品は、出荷時点で「Secure by Default（安全な初期設定）」が適用されていること、既知の悪用可能な脆弱性を含まないこと、攻撃対象領域を最小限に抑えること、協調的脆弱性開示（Coordinated Vulnerability Disclosure：CVD）のための方針およびプロセスを整備することが求められています。

UN R155 / UN R156

UN R155およびUN R156は、自動車業界におけるサプライチェーンの透明性確保の国際規制として、すでに多くの自動車メーカーに適用されています。

欧州が目指す「戦略的自律性（Strategic Autonomy）」

近年、欧州規制当局は「非技術的リスク要因（Non-Technical Risk Factors）」への関心を高めています。このアプローチは、欧州の5Gセキュリティ政策である「EU 5G Toolbox」と同様の考え方に基づいており、将来的には自動車業界においても、高リスクと判断されたベンダーの採用が制限される可能性があります。その目的は、サイバー攻撃だけでなく、デジタルインフラを通じた妨害行為やサプライチェーンリスクを未然に防ぐことにあります。

サプライチェーンの透明性が市場参入の鍵になる

米国市場であれ欧州市場であれ、ソフトウェアサプライチェーンの透明性は急速に新たな「事業継続の前提条件」になりつつあります。これは、自動車業界が新たな時代へ移行していることを意味しています。コンプライアンス対応や安全性の確保には、サプライチェーンの最深部に存在するソフトウェアコンポーネントまで含めて、その構成と由来を把握できる可視性が不可欠になったのです。

こうした要求に対応するためには、もはや人手による監査だけでは十分ではありません。PlaxidityX SSCSのような自動化・スケーラブルなソリューションを活用することで、メーカーは従来のスポット的な監査から脱却し、継続的なソフトウェア分析と証跡に基づくコンプライアンス管理へと移行できます。地政学的リスクがサイバーセキュリティ戦略に大きな影響を与える現在、企業に求められるのは「ソフトウェアが安全であること」だけではありません。「どのようなソフトウェアが含まれているのか」「それがどこから来たのか」を証明できることが、今後の市場アクセスを左右する重要な要件となります。そして近い将来、自社の車両をどの国や地域で販売できるかは、ソフトウェア内部の構成をどれだけ正確に把握し、証明できるかによって決まる時代になるかもしれません。