Security AutoTesterは、何百もの顧客プロジェクトに基づく自動車サイバーセキュリティに関する当社の広範な知見と専門知識を活用し、自動車OEMとサプライヤーの両方に対して、自動車ソフトウェア開発者がファジングテストやペネトレーションテストなどのエンタープライズレベルのセキュリティテストを実施することを可能にします。
セキュリティテストを通常の開発・テストパイプラインに統合し、UN R155および国際標準ISO/SAE 21434で要求されるサイバーセキュリティの可視性を常に確保します。
自動車OEMやTier-1サプライヤーとのファイジングテストプロジェクトから得た知見
新しいインターフェース、プロトコル、ファジングテストケース
UNR 155やISO/SAE 21434などのサイバーセキュリティ規制・標準の対象となる車両およびコンポーネント向け
サイバーセキュリティのスキルがなくても簡単に操作が可能
PlaxidityX DevSecOpsの包括的なプラットフォームとの統合が可能
200件以上の自動化ファジングテストケース
進化する規制に対応するテストレポート
主要なテスト環境に統合可能
ECUあるいは車両レベルのファジングテスト
自動車のファジングテスト(fuzz testing)とは何ですか?
自動車のファジングテストとは、ECU(Electronic Control Unit)や通信プロトコルなどの車載システムに対して、ランダムで予期していない、無効なデータを入力し、量産後に悪用される恐れのある脆弱性やバグ、システムの弱点を発見するための自動化されたソフトウェアテスト手法です。車両がますますソフトウェア化かつコネクテッド化する中で、ファジングテストは、安全性やサイバーセキュリティにつながるリスクを特定し、解消するうえで非常に有効です。
自動車のファジングテストでは、どのような種類の脆弱性を検出できますか?
自動車ファジングテストでは、バッファオーバーフロー、インジェクション攻撃、メモリリーク、システムクラッシュ、フリーズ(応答停止)など、予期しないデータや不正な入力によって引き起こされるさまざまなセキュリティおよび信頼性の問題を検出することができます。これらの脆弱性を早期に特定することで、車載ソフトウェアの堅牢性と安全性を高めることが可能になります。
ファジングテストは、ペネトレーションテストなどの他のセキュリティテストとどのように異なるのですか?
ペネトレーションテスト(侵入テスト)は、実際の攻撃を模擬してシステムの防御力を評価する手法です。一方、ファジングテストは、構文的に不正な入力やランダムなデータを大量にシステムへ送り込み、未知の脆弱性やソフトウェアのバグを検出することを目的としたセキュリティテストです。ファジングテストは高度に自動化されていることが多く、ペネトレーションテストなどの手動テストでは見落とされやすい幅広いケースを網羅できます。そのため、両者は競合するものではなく、互いを補完するセキュリティ対策として併用されることが推奨されます。
自動車業界のコンプライアンスにおいて、ファジングテストはどのように役立つのですか?
ファジングテストは、ISO/SAE 21434などの自動車向けサイバーセキュリティ標準に適合するためのベストプラクティスとして、近年ますます注目されています。UN R155のようにファジングテストを明確に義務付けてはいない規制もありますが、メーカーに対して強固なリスク評価と対策実施のプロセスを示すことを求めています。その点で、ファジングテストは実践的かつ効果的な手法であり、規制遵守を支援する重要なアプローチとなります。
ファジングテストには高度なサイバーセキュリティスキルが必要ですか?
選定したツールにより異なります。一部のファジングテストツールでは、テストシナリオを一から定義する必要があり、サイバーセキュリティに関する高度な技術力や専門知識が必要な場合があります。しかし、PlaxidityX Security AutoTesterであれば、自動車サイバーセキュリティ分野における豊富な研究と専門知識に基づき、200種類以上のテストパッケージがあらかじめ組み込まれているため、専門スキルがなくてもすぐにファジングテストを開始できます。
Security AutoDesignerは、何十件もの自動車TARAプロジェクトで培った長年の経験、包括的な脅威データベース、最先端のAI技術を活用し、OEMとTier-1サプライヤーが車両とECUを保護し、ISO 21434とUNR 155に準拠するための詳細な脅威分析とリスク評価レポートを自動的に作成できるようにします。
Code Security Managerは、静的アプリケーション・セキュリティ・テスト(SAST)と動的アプリケーション・セキュリティ・テスト(DAST)を開発の初期段階に統合し、開発者が使いやすいようCI/CD統合とソースコード・サポートを提供することで、堅牢な量産前セキュリティを実現します。
SW Supply Chain Securityは、規制に準拠し、製品のセキュリティを確保するため、既知およびプライベート脆弱性について自動バイナリSBOMスキャンを実行します。