自動車サイバーセキュリティのシフトレフト:車両脆弱性管理におけるROI重視のアプローチ

自動車サイバーセキュリティのシフトレフト:車両脆弱性管理におけるROI重視のアプローチ

目次

ソフトウェア・デファインド・ビークル(SDV)の出現により車載ソフトウェアは急激に成長し、自動車業界はセキュリティに関する大きな課題を抱えることになりました。単純な計算で、車載ソフトウェアが増加すればするほど、脆弱性リスクも高くなります。自動車メーカーやティア1は、安全性やプライバシーに関するリスクの可能性をできるだけ抑え、また新たに設けられたサイバーセキュリティ法規や基準を満たすために、脆弱性管理システムの導入を進めています。

同時に、多くの自動車メーカーが重要なコンポーネントのOTAアップデートや頻繁なソフトウェアリリースを含むCI/CD(継続的インテグレーション/継続的デリバリー)技術を採用するようになる中、製品開発の早い段階で車両脆弱性管理(VVM)を統合する傾向が顕著になっています。

この「シフトレフト」アプローチのメリットおよび、一般的に使用されているCI/CDツールとVVMとの統合の例を見ていきましょう。

自動車に特化した脆弱性管理が重要な理由

自動車専用のVVMソリューションは、最新のクルマが抱える安全面での固有の課題や複雑性に対処するよう設計されています。これらのツールは、ソフトウェアの脆弱性を特定する以外に、アセット管理、AUTOSAR との互換性、さらには電子制御ユニット(ECU)のハードウェアの脆弱性への対処、といった機能も併せ持っています。

例えば、車両アセットの中の脆弱性をピンポイントで特定するためには、脆弱性管理ツールは、自動車ECUの複雑な階層を自由に行き来できなければなりません。しかし自動車ECUには、多くの場合、複数のサプライヤーが提供するコンポーネントが組み込まれています。自動車専用ソリューションは従来のITツールと異なり、これらの階層に的を絞った可視性を提供することでこの問題に対処し、より効果的で正確な緩和戦略を実現します。

脆弱性管理のもう一つの課題は、自動車ECUには事前定義されたSBOMが搭載されていないことが多い、ということです。自動車専用VVMツールはこの情報を自動車用AUTOSAR ECUなどのバイナリーファイルから自動的に抽出するよう設計されているため、自動車メーカーは汎用ツールでは提供できない詳細なレベルで脆弱性を管理することが可能になります。

脆弱性の早期検出が迅速な問題解決につながる

すでに述べたように、多くのティア1サプライヤーはコーディングやテストプロセスにかかる時間を短縮するために既にCI/CD技術を導入しています。ECUや他のコンポーネントのソフトウェアコードをゼロから開発するサプライヤーもいれば、複数のサブレベルのソフトウェアサプライヤーと連携するサプライヤーもいます。

自動車サプライチェーンは複雑であるため、ティア1はサプライヤーから受け取ったECUコンポーネントのソフトウェア構成を必ずしも認識しているとは限りません。ティア1は、OEMへ出荷する前に脆弱性の検査のためコードをスキャンしますが(これは事実上の要件になりつつあります)、そのためには開発プロセスにおいてコードを完全に可視化する必要があります。

ティア1は、脆弱性管理ツールをCI/CDパイプラインの他のツールと統合することにより、開発の初期段階で自動的に脆弱性を検出することができます。このアプローチにより、早め早めに先手を打ってプロアクティブに脆弱性に対処することができ、エンジニアはより迅速にコスト効率よく問題を解決することができます。

VVMをCI/CDパイプラインに統合する方法

では、ソフトウェア開発者の視点からはVVMをCI/CDに統合することはどういうことなのでしょうか。VVMをJenkinsと統合してソフトウェアのビルドとテストを自動化し、Jiraと統合して脆弱性のソリューションを記録し管理するシナリオを例にしましょう。

この統合により、開発者はJenkins内でテストフェーズの一環としてコードをスキャンして脆弱性を確認することができます。ここでのメリットは、JenkinsとVVM間で手作業によってファイルをダウンロード/アップロードする必要がなく、またビルドのセキュリティステータスに関するフィードバックをすぐに得られる点です。例えば、発見された脆弱性の数や重大度に基づいてビルドの成功と失敗を決定するルールをJenkins内で作成することができます。

例えば、あるECUに重大な脆弱性があるとVVMが検出したと仮定しましょう。VVMツールをJiraなどのプロジェクト管理ツールと統合すれば、分析および対策のタスクが社内のプロジェクトチームや開発チームの担当者に割り当てられます。担当するサイバーアナリストは、脆弱性を分析するうえで必要なすべての情報(「ユーザーストーリー」)をJiraから受け取り、その解決方法を見出し、対策を実施します。

社内で製品開発やテスト用に様々なCI/CDツール、あるいはレガシーシステムを使用している場合、自社で使用しているVVMソリューションが、CI/CDパイプライン内でシームレスに統合するために必要なAPIに対応しているかを確認する必要があります。ベンダーはスムーズな統合を実現するために様々なレベルのAPIドキュメントやサポートオプションを提供しています。


VVMをJenkinsと統合

先見の明をもって車両脆弱性管理を行う

自動車ソフトウェアやハードウェアの設計に脆弱性はつきものです。これを踏まえ、ティア1は脆弱性が重大なリスクになる前に優先的に脆弱性を特定して対処する必要があります。

先見性のある脆弱性管理ソリューションは、サイバーセキュリティ責任者がCI/CDパイプラインの不可欠な部分として脆弱性を検出し解決するのに役立ちます。脆弱性の検出を開発プロセスの初期段階に(テストとQAとともに)移行させることで、ティア1は市場投入までの時間を短縮できるだけでなく、時間、労力、コストを削減することができます。

車両脆弱性管理をCI/CDパイプライン内に統合するメリットについて詳しく知りたい方は、以下のリンクからホワイトペーパーをダウンロードできます