SW Supply Chain Security(SSCS)は、車載ソフトウェアの脆弱性管理を一元化する中核プラットフォームです。高度なソースコードスキャンとバイナリ解析を統合し、開発初期段階からのセキュリティ対策(Shift Left)と、車両ライフサイクル全体にわたる継続的な脆弱性スキャンを可能にします。
自動車メーカーやTier1サプライヤーは現在、分断されたツールの利用に苦慮しています。開発者は静的解析ツール(SAST)を使用し、セキュリティチームは量産後の監視のためにバイナリ解析ツールやSBOMツールを利用しています。このようなサイロ化した運用では、脆弱性の見落としが生じやすく、リリースの遅延やコンプライアンス対応コストの増大につながります。
本番環境でのバグ修正は、開発段階での修正に比べて最大100倍のコストがかかることがあります。SSCSはコード開発の段階でセキュリティ上の欠陥を検出し、修正コストの削減に貢献します。
UN R155、ISO/SAE 21434、EUサイバーレジリエンス法(CRA)への監査対応を効率化します。自社開発ソフトウェアとサプライチェーンの両方を対象としたコンプライアンスレポートを自動生成します。
その脆弱性がどの車両モデルに影響するのかを正確に把握できます。また自社コードによるものか、サプライヤーが提供したバイナリに起因するのかも含めて可視化します。
自社開発ソフトウェアのCI/CDパイプラインでのコード開発から、Tier2サプライヤーが提供するバイナリファームウェアの管理まで、SSCSは脆弱性、SBOM、コンプライアンスリスクを一元的に管理します。
開発者が利用するCI/CDパイプライン(Jenkins、Jiraなど)と直接連携し、ソースコードをリアルタイムでスキャンすることで、修正コストが最も低い開発初期段階で脆弱性を検出します。
開発者のワークフロー内で静的アプリケーションセキュリティテスト(SAST)を自動実行し、バッファオーバーフローや不適切なデータ処理などの脆弱性を開発初期段階で検出します。
コンパイル済みバイナリ(ファームウェア)を自動的に分解・解析し、ソースコードがなくてもコンポーネント構成や脆弱性を特定します。
SSCSは、AUTOSAR、Linux、Androidを含むコンパイル済みバイナリからSBOMを自動抽出し、サードパーティ製品やブラックボックスコンポーネントに潜むリスクを特定します。
SSCSは、資産情報を公開脆弱性データベース(CVE)および自動車業界の非公開脆弱性データベースと継続的に照合し、市場に出ている車両に影響する新たな脅威を検知します。
AUTOSAR(Classic / Adaptive)、LinuxおよびAndroidなど複雑な車載ソフトウェアアーキテクチャに対応した高度な機能を提供します。
プロジェクトや車両モデルごとに、ECU、ハードウェアコンポーネント、ソフトウェアライブラリを一元管理するインベントリを提供します。
脅威分析とリスク評価(TARA)ツールや、CISAの脆弱性データベースKnown Exploited Vulnerabilities(KEV)と連携し、誤検知を排除しながらリスクを適切に優先順位付けします。
GPL、Apache、MITなどのオープンソースライセンスを検出・管理することで、ライセンス違反や知的財産リスクを防止します。コンプライアンスを維持し、製品リリース前のリスクを低減します。
Jenkins、GitHub、GitLabなどのCI/CDパイプラインツールとシームレスに連携します。
SBOMとは何ですか?自動車サイバーセキュリティにおいて、なぜ重要とされるのでしょうか?
SBOM(Software Bill of Materials、ソフトウェア部品表)とは、オープンソースライブラリも含め、製品やコンポーネントを構成するすべてのソフトウェア部品の一覧をまとめた構成情報です。 SBOMを作成することで、使用されているソフトウェアの構成が可視化され、脆弱なコンポーネントを特定しやすくなります。これは、自動車向けサイバーセキュリティ規格への準拠にも不可欠です。
脆弱性スキャンはどのように機能するのですか?
PlaxidityX SW Supply Chain Securityのような脆弱性スキャンツールは、AUTOSAR、Linux、Androidコンポーネントなどのバイナリファイルから自動的にSBOM(ソフトウェア部品表)を抽出し、そこに含まれるソフトウェア部品を対象に公開データベース(例:NVD、CVE)だけでなく、独自の脆弱性情報源も活用して脆弱性を継続的にスキャンします。このため、新たに公開された脆弱性をリアルタイムで検出することが可能になり、車両およびその構成コンポーネントのライフサイクル全体を通じて、継続的なセキュリティ監視が実現されます。
脆弱性スキャンを求めている規制や標準には何がありますか?
脆弱性スキャンは、UN規則 NO.155(UN R155)、ISO/SAE 21434、EUサイバーレジリエンス法(CRA)のような複数のサイバーセキュリティ規格や規制において必須の要件とされています。これらの規格および規制は、自動車ソフトウェアおよびハードウェアに対して、継続的な脆弱性の監視、リスク評価、セキュア・バイ・デザインを義務付けています。
自動車向けの脆弱性スキャンツールは、量産後のセキュリティ要件にどのように対応していますか?
自動車用の脆弱性スキャンツールは、デプロイ後の車両に対し継続的な脆弱性の監視を実施することで、新たに発見された脆弱性を迅速に検出します。これにより、すでに市場に出た車両やコンポーネントに影響を及ぼすリスクに対して、的確なアラートとパッチ適用の推奨事項を提供できます。また、自動車向けに最適化された高度なアセット管理機能により、自動車メーカーやTier1サプライヤーは、大量のECUや車両モデルに対して、セキュリティ状態を一元的に可視化・管理できます。
PlaxidityX SW Supply Chain Securityのような脆弱性管理ツールは、コンプライアンスの監査にどのように役立ちますか?
このソリューションは、セキュリティプロセスの記録と可視化を行い、自動レポートを生成する機能を備えています。これにより、ISO/SAE 21434やUN R155といった自動車向けサイバーセキュリティ規格に基づくコンプライアンス監査を簡素化できます。このような仕組みは、監査人に対してリスク管理の実施状況(デューデリジェンス)や規制遵守の証拠を明確に提示するうえで非常に有効です。
「サイバーセキュリティは市場での差別化要因と考えており、PlaxidityXとのパートナーシップにより、当社の『デジタルシールド』サイバーセキュリティサービス製品を補完し、セキュアなソフトウェアとエレクトロニクスを提供するリーダーになるという目標達成に貢献すると確信しています。」
「プラクシディティ エックスとの提携により、当社のOEMおよびTier1顧客は、セキュリティを心配せずに新しい高性能Ajunic®プラットフォームを利用できます。プラクシディティ エックスの自動車サイバーセキュリティの専門知識と革新的なIDPS製品を活用することで、当社の不可欠なソフトウェア開発スタックの一部として市場をリードする車載保護機能を提供できるようになります。」
「PlaxidityX が持つ豊富な経験、知識、方法論、そして専門性が決め手になりました。PlaxidityX は、非常に短期間で最高品質の成果を提供し、納品してくれたため、当社のビジネス目標を達成する上で重要な役割を果たしました。」
「PlaxidityX の包括的なサイバーセキュリティソリューションの数々と卓越した戦略的技術パートナーシップが、同社のリーダー的地位確立に寄与しています。」
「PlaxidityXとの提携により、お客様が当社のテストプラットフォームを使ってサイバーセキュリティテストを実施できるようになりました。PlaxidityXのような強力で経験豊富なサイバーセキュリティサービスプロバイダーと提携できることを非常に嬉しく思います。」
「PlaxidityXが持つコネクテッドカーのセキュリティに関する専門知識と、MicrosoftのAzure AI機能を組み合わせることで、自動車業界全体におけるセキュリティの『シフトレフト』を加速させる又と無い機会を得ることができました。」
「PlaxidityXは、ContinentalのSDV戦略の重要な柱であり、セキュリティ・バイ・デザインのアプローチを実現する上で欠かせない存在です。自動車のサイバーセキュリティがクラウドへと移行する中で、PlaxidityXの最先端技術と実績あるVSOC機能は、お客様の『未来のニーズ』に応えるための競争力を私たちにもたらしています。」
Security AutoDesignerは、何十件もの自動車TARAプロジェクトで培った長年の経験、包括的な脅威データベース、最先端のAI技術を活用し、OEMとTier-1サプライヤーが車両とECUを保護し、ISO 21434とUNR 155に準拠するための詳細な脅威分析とリスク評価レポートを自動的に作成できるようにします。
Security AutoTesterは、何百もの顧客プロジェクトに基づく自動車サイバーセキュリティに関するアルガスの広範な知見と専門知識を活用し、自動車OEMとサプライヤーの両方に対して、自動車ソフトウェア開発者がファジングテストやペネトレーションテストなどのエンタープライズレベルのセキュリティテストを実施することを可能にします。
