ソフトウェア部品表(SBOM)は、ソフトウェアのライセンスコンプライアンスを処理するために、自動車業界の外部で開発されました。その後、脆弱性追跡のためのSBOMの利点が広く認識されるようになり、現在では将来のソフトウェアディファインドビークル(SDV)の安全性を確保する取り組みの一環として展開されています。
今回のSBD Explores では、自動車業界におけるSBOMの現状を掘り下げ、その利点と限界(自動車業界およびより広範なソフトウェアエコシステムにおける)について考察し、車載ソフトウェアの安全性を維持するために進むべき方向性について解説します。
同分野における動向
SBOMは、重要な品質追跡および検証プロセスを可能にするマシンリーダブル(機械による読み取りが可能)なフォーマットです。
最新の自動車には、OEM、サプライヤー、サードパーティーのソフトウェアコンポーネントが含まれています。このため、トレーサビリティを確保するための強固な文書化が必要となります。
自動車メーカーはSBOMと脆弱性を比較することが可能です。これにより、より迅速な修正プログラムの適用や、適切な緩和策の選択が可能になります。CVE(Common Vulnerabilities and Exposures::共通脆弱性識別子)を特定し、影響を受けるモジュールの再利用をブロックすることができます。
SBOMはエコシステム全体において、使用されるソフトウェアライブラリの検証に役立ちます。パートナーにとって、将来のコンポーネントでのバージョンの管理は課題でした。
自動車関連ではないものの、2021-2022年のLog4j/Log4Shellソフトウェアの不具合は、広く使用されているオープンソースのJava開発ライブラリで発見されました。修復の課題から、すべてのサイバー部門は、リリースされた製品で使用されるライブラリのバージョンを追跡管理することが重要であるということを認識しました。
SBOMは、サプライチェーンのセキュリティ問題に対処するため、自動車OEMから大きな関心を集め、導入が進んでいます。
なぜ、それが重要なのか?
規制当局は現在、SBOMを「チェック項目」として使用していますが、セキュリティ目標は、慎重な統合によって実現されるでしょう。
OEMのソフトウェア管理は、複雑な規制の枠組みに適合している必要があります。サプライヤー、コンソーシアム、社内から、増大するソフトウェアのソースコードとバイナリを管理するには、標準的なフォーマットとツールが必要です。
サプライチェーン攻撃は、ソフトウェアソースの真正性を検証する必要性を示しています。SBOMは、プロジェクトや業界を横断する効率的な方法を提供します。
規制とベストプラクティスのガイダンスは、製造業者によるサイバーセキュリティの優れた実践を後押しします。OEMは、コストを最小限に抑えながら、メリットを最大化するためのプロセスを実施する必要があります。
SBOMシステムが開発および更新プロセスに組み込まれている場合、SBOMは実装された修正を迅速に伝播するのに役立ちます。
SBOMは、OEMとサプライヤーの間で責任を押し付けあうためのツールではなく、修正を迅速化し、既知の脆弱性が流通するのを防ぐものでなければなりません。
今後の展望
OEMは、ソフトウェアディファインドビークルへの転換を活用して、自動車ソフトウェアの価値創造をより明確に特定し、効率的に保護することができます。
OEM は、自動車のソフトウェア領域への取り組みを拡大するのに伴い、組織内外のソフトウェアシステムの依存関係についての理解を深めています。この理解には、ソフトウェアパッケージのライセンス、作成者の特定、現在の保守者の追跡が含まれます。
近い将来、既存のコードをスキャンしてSBOMを生成することで、システムモジュールインテグレータが懸念する領域が浮き彫りになるでしょう。ソフトウェア作成者が開発フローにSBOMを追加するのに伴い、依存関係オプションの相対的なリスクが可視化され、システムの堅牢性が向上します。
OEMが次世代のソフトウェアディファインドビークルのために、より多くのソフトウェアを社内で構築するのに伴い、社内のSBOMをよりよく追跡し、既知の脆弱性をリリース前に修正できるようにすることが可能です。
OEMは、信頼できるパートナーとSBOMの活用を試みています。これは、最初の脆弱性のニュースから、影響を受けたシステムやサービスの迅速な修理まで、サプライチェーン全体でトレーサビリティを向上させるためです。
SBOMはR156の要件を満たしており、OTAアップデートの堅牢性を向上させます。
長期的には、自動車のエコシステムをより安全にするための共通ミドルウェアのOEMのSBOM標準化によって、消費者は迅速なアップデートとリコールの減少という恩恵を受けることになります。
注目すべきは?
認証機関や標準化団体は、自動車業界とパートナーシップを結び、協業を通じてより高いレベルのサイバーセキュリティを実現しようとしています。
OEMは、将来の型式認証の要件を満たすために、SBOMプロセスを改善する必要があります。
認証機関は、増え続けるサイバーセキュリティの課題に対応するために必要な継続的な改善を期待しています。承認のために現在と同じ方法を採用していれば将来的に十分だと考えるのは誤りです。
Auto-ISACとGlobalPlatformは、自動車向けSBOMワーキンググループを有する組織の2つの例です。
汎用SBOMフォーマット、プロトコル、および標準は、業界からのフィードバックと変化する技術に基づいて改良され続けています。
強固なSBOMの実装次第では、さらなる要件や推奨事項が予想されます。
とるべき対応
Embrace
全社的かつエコシステムでのソフトウェアモジュールのバージョンと管理を可能にすることで、SBOMの展開と開発を推進する
Implement
SBOMを活用して「シフトレフト」し、トレーサビリティを向上させることで、脆弱性の減少と迅速なパッチ適用を実現する
Collaborate
業界コンソーシアムおよびツールサプライヤパートナーを特定し、自動車アプリケーション向けの既存のSBOMソリューションおよびプロセスの展開を最適化する
詳細に関するお問い合わせ
SBD Automotiveではカスタムプロジェクトを通じて、クライアントが新たな課題や機会へ取り組むことを支援しています。自動車サイバーセキュリティに関連する最近のプロジェクトに関する詳細や、その他ご要望については下記までお問い合わせください。
関連コンテンツ:
