SW Supply Chain Securityは、規制に準拠し、製品のセキュリティを確保するため、既知およびプライベート脆弱性について自動バイナリSBOMスキャンを実行します。
自動車OEMが抱えるサイバーセキュリティ上の最大の課題の1つは、非常に多くの外部リソースやソフトウェア・ベンダーから提供されるコンポーネントのソフトウェア部品表(SBOM)の可視性が限られているか、まったくないことです。そのため、外部から調達したソフトウェア・コンポーネントがセキュアなのかを見分けることが難しく、監査においてサイバーセキュリティ規制を満たしていることを証明することが難しいというものです。
UNR 155やISO/SAE 21434などのサイバーセキュリティ規制・標準の対象となる車両およびコンポーネント向け
全ベンダーの全コンポーネントのサイバーセキュリティ状態を完全に可視化
優先度の高いリスクと脆弱性に焦点を当て、アナリストのオーバーヘッドを削減
車両とそのコンポーネントのライフまで、新たに公表された脆弱性の検出を継続
PlaxidityX DevSecOpsの包括的なプラットフォームとの統合が可能
AUTOSAR、Linux、Androidを含むバイナリからのSBOM自動抽出
公的およびプライベートのデータベースからアセットに関連する脆弱性を継続して検出
プロジェクトや車種ごとにECU、ハードウェア・コンポーネント、ソフトウェア・ライブラリを管理
詳細なアラートで常に情報を入手し、脆弱性に自動で優先順位を付け、各脆弱性のリスク影響度を洞察
SBOMとは何ですか?自動車サイバーセキュリティにおいて、なぜ重要とされるのでしょうか?
SBOM(Software Bill of Materials、ソフトウェア部品表)とは、オープンソースライブラリも含め、製品やコンポーネントを構成するすべてのソフトウェア部品の一覧をまとめた構成情報です。 SBOMを作成することで、使用されているソフトウェアの構成が可視化され、脆弱なコンポーネントを特定しやすくなります。これは、自動車向けサイバーセキュリティ規格への準拠にも不可欠です。
脆弱性スキャンはどのように機能するのですか?
PlaxidityX SW Supply Chain Securityのような脆弱性スキャンツールは、AUTOSAR、Linux、Androidコンポーネントなどのバイナリファイルから自動的にSBOM(ソフトウェア部品表)を抽出し、そこに含まれるソフトウェア部品を対象に公開データベース(例:NVD、CVE)だけでなく、独自の脆弱性情報源も活用して脆弱性を継続的にスキャンします。このため、新たに公開された脆弱性をリアルタイムで検出することが可能になり、車両およびその構成コンポーネントのライフサイクル全体を通じて、継続的なセキュリティ監視が実現されます。
脆弱性スキャンを求めている規制や標準には何がありますか?
脆弱性スキャンは、UN規則 NO.155(UN R155)、ISO/SAE 21434、EUサイバーレジリエンス法(CRA)のような複数のサイバーセキュリティ規格や規制において必須の要件とされています。これらの規格および規制は、自動車ソフトウェアおよびハードウェアに対して、継続的な脆弱性の監視、リスク評価、セキュア・バイ・デザインを義務付けています。
自動車向けの脆弱性スキャンツールは、量産後のセキュリティ要件にどのように対応していますか?
自動車用の脆弱性スキャンツールは、デプロイ後の車両に対し継続的な脆弱性の監視を実施することで、新たに発見された脆弱性を迅速に検出します。これにより、すでに市場に出た車両やコンポーネントに影響を及ぼすリスクに対して、的確なアラートとパッチ適用の推奨事項を提供できます。また、自動車向けに最適化された高度なアセット管理機能により、自動車メーカーやTier1サプライヤーは、大量のECUや車両モデルに対して、セキュリティ状態を一元的に可視化・管理できます。
PlaxidityX SW Supply Chain Securityのような脆弱性管理ツールは、コンプライアンスの監査にどのように役立ちますか?
このソリューションは、セキュリティプロセスの記録と可視化を行い、自動レポートを生成する機能を備えています。これにより、ISO/SAE 21434やUN R155といった自動車向けサイバーセキュリティ規格に基づくコンプライアンス監査を簡素化できます。このような仕組みは、監査人に対してリスク管理の実施状況(デューデリジェンス)や規制遵守の証拠を明確に提示するうえで非常に有効です。
Security AutoDesignerは、何十件もの自動車TARAプロジェクトで培った長年の経験、包括的な脅威データベース、最先端のAI技術を活用し、OEMとTier-1サプライヤーが車両とECUを保護し、ISO 21434とUNR 155に準拠するための詳細な脅威分析とリスク評価レポートを自動的に作成できるようにします。
Code Security Managerは、静的アプリケーション・セキュリティ・テスト(SAST)と動的アプリケーション・セキュリティ・テスト(DAST)を開発の初期段階に統合し、開発者が使いやすいようCI/CD統合とソースコード・サポートを提供することで、堅牢な量産前セキュリティを実現します。
Security AutoTesterは、何百もの顧客プロジェクトに基づく自動車サイバーセキュリティに関するアルガスの広範な知見と専門知識を活用し、自動車OEMとサプライヤーの両方に対して、自動車ソフトウェア開発者がファジングテストやペネトレーションテストなどのエンタープライズレベルのセキュリティテストを実施することを可能にします。