NTT DATA

DATA INSIGHT

NTT DATAの「知見」と「先見」を社会へ届けるメディア

キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トピックで探す
キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トピックで探す
2023.11.14技術トレンド/展望

技術革新が進む自動車、今注目の「SBOM」でセキュリティ強化!

自動車業界ではAIや自動運転などさまざまな最新テクノロジーとの融合が進んでいる。その利便性や快適性が注目されがちであるが、それらの機能を実現するためのソフトウェアの複雑化、大規模化によるサイバーセキュリティリスクの高まりにも注意しなければならない。つまり、ソフトウェアの構成を明確にし、即時に適切な脆弱性対応をできるようにしておくことがセキュリティリスクへの備えとして求められているのだ。近年、その具体的な方法としてSBOM(ソフトウェア部品表)が注目されている。本稿では、自動車業界におけるSBOM導入を解説し、NTT DATAが提供可能なSBOM支援サービスについて紹介する。
目次

自動車業界における変化

CASE(※1)実現に向けてコネクテッド機能や自動運転機能などが搭載され、自動車の概念が大きく変化しています。新機能実現のために、AI関連企業などが次々とソフトウェア開発に参画しており、サプライチェーンの複雑化は避けられません。また、自動車に搭載されるECU(電子制御ユニット)は、2021年には自動車1台当たり平均29.6個であったものが、2035年には46.6個に達すると予測されています(※2)。それに伴い、ソフトウェアのコード行数も急激に増加し、2020年には自動車1台当たり2億行、2025年には6億行に達すると推測され(※3)、これは他分野のソフトウェアを凌駕した大きさです。(図1、2)

図1:自動車におけるコード行数の変化(※3)

図1:自動車におけるコード行数の変化(※3)

図2:各分野のプログラムコード行数(※4)

図2:各分野のプログラムコード行数(※4)

こうした変化を受けて、多くの自動車部品メーカ(サプライヤー)がOSS活用によるソフトウェア開発の効率化を図っています。一方で、サプライヤー自身がOSSを組込んでいるケースもあれば、採用したソフトウェアに既にOSSが組込まれているケースもあるなど、ソフトウェアは複雑に入り組んだ構成になります。そのため、どのコンポーネントにどのようなソフトウェアが組込まれているかを十分に把握できていない場合には、OSSの脆弱性が開発したシステムに及ぼす影響を瞬時に評価することができません。車両に対するサイバー攻撃は、自動運転車の場合は攻撃者による遠隔操作等、人命に関わる事故に発展する可能性もあるため、十分なセキュリティ対策を取ることが求められます。

(※1)

Connected、Autonomous、Share&Services、Electricの頭文字をつなげた造語

(※2)車載電装デバイス&コンポーネンツ総調査 2022 下巻

https://www.fcr.co.jp/pr/22053.htm

(※4)

経済産業省、ニッセイアセットマネジメント、Quora、FOSSBYTES、Windows Report

自動車を販売できなくなる?

このような背景から、自動車業界におけるサイバーセキュリティ規制やガイドラインが策定されています。国連が発効したUN-R155(※5)やUN-R156(※6)では、サイバーセキュリティやソフトウェア更新への対策を求めています。また、サプライチェーン全体でのソフトウェアの構成やバージョンの管理と、それに関する脆弱性管理を義務付けています。対応策の妥当性を証明できない場合には、日本を含めた協定国での車両の販売が認められません(※7)
自動車のサイバーセキュリティ対策について定めた国際標準規格のISO/SAE 21434では、車両の開発から廃棄までの全ライフサイクルにおいて脆弱性の分析や管理の必要性を示しています。自動車のライフスパンは10~15年間にもおよぶ可能性があるため、通常のITプロダクトと比較して脆弱性管理に対する責任を負う期間は非常に長くなるといえるでしょう。

(※5)UN Regulation No. 155 - Cyber security and cyber security management system

https://unece.org/transport/documents/2021/03/standards/un-regulation-no-155-cyber-security-and-cyber-security

(※6)UN Regulation No. 156 - Software update and software update management system

https://unece.org/transport/documents/2021/03/standards/un-regulation-no-156-software-update-and-software-update

(※7)自動車業界で高まるサイバーセキュリティの重要性

https://www.nttdata.com/jp/ja/data-insight/2023/012601/

SBOMとは

しかし、先述したようにサプライチェーンの複雑化やソフトウェアコード行数の増加によって、OSSを含めた全てのソフトウェアコンポーネントを把握し、脆弱性を管理することは簡単ではありません。では、どのように管理をすればよいのでしょうか。2021年の米国大統領令(※8)や経産省が策定した手引き(※9)では、複雑化したソフトウェアサプライチェーンに対するセキュリティ強化の具体的な対策方法が示されています。その方法がSBOM(Software Bill of Materials:ソフトウェア部品表)です。SBOMはさまざまなソフトウェアが対象ですが、責任の所在や依存関係が複雑な車載ソフトウェアに対しても有効です。
SBOMとはソフトウェアコンポーネントおよびそれらの関連情報をリスト化し、機械処理可能な形式にしたものです。

図3:SBOMの概念的イメージと実際のSBOMの例(※10)

図3:SBOMの概念的イメージと実際のSBOMの例(※10)

図3のように、SBOMは「サプライヤー名」「コンポーネント名」「コンポーネントのバージョン」「依存関係」「SBOM作成者」「タイムスタンプ」「その他の一意な識別子」等の情報で構成されています。これにより、自社以外で作成された複雑な依存関係や構造を持つソフトウェアに対しても脆弱性の一元管理が可能となります。なお、SBOMの詳細な解説は以下をご覧ください。

全世界待望!SBOMによるサプライチェーンセキュリティ強化
https://www.nttdata.com/jp/ja/data-insight/2023/0207/

(※8)

Executive Order on Improving the Nation’s Cybersecurity(サイバーセキュリティ強化のための大統領令)

(※9)ソフトウェア管理に向けたSBOMの導入に関する手引

https://www.meti.go.jp/press/2023/07/20230728004/20230728004.html

自動車業界におけるSBOM

車両におけるSBOM作成の対象範囲は組込みシステム、リアルタイムOSや各車両機能に固有の独自ソフトウェアコンポーネントなど多岐にわたります。OEM(※10)がSBOM作成をする理想的な方法は、各サプライヤーがSBOMを作成し連携することです。これは、自動車業界においてはOEMやTier1(※11)が直接ソフトウェアコンポーネントを開発するケースは少なく、その多くはTier2(※12)やTier3(※13)によって開発されているためです。(図4)

図4:車載ソフトウェアにおけるサプライチェーン

図4:車載ソフトウェアにおけるサプライチェーン

しかし、実際には多くのサプライヤーやOEMではSBOM生成の仕組みが存在していません。ソフトウェア情報の連携が不十分である場合や、SBOMをExcelによって管理するなどSBOM運用体制が整備されていない場合がほとんどです。そのためSBOMを効率的かつ継続的に生成し、脆弱性分析を効果的に実施するための仕組みが必要です。

NTT DATAでは豊富なITとサイバーセキュリティの知見を基にした技術力、そして全世界に多くの拠点を持つグローバル力を生かしたさまざまなSBOMサービスを提供しています。

  • サプライチェーンの各段階でOSSに関する情報をECU(電子制御ユニット)など車両独自のソフトウェアコンポーネントから抽出し、SBOMを効率的に作成するサービス
  • 各段階で作成されたSBOMを統合し1つのプラットフォーム上で管理可能とするサービス
  • 上記プラットフォームを活用した脆弱性モニタリングから対応までを行うサービス 等

サプライチェーンセキュリティを包括的かつ継続的に管理するマネージドサービスのグローバル提供体制を整えていきます。さまざまなサプライヤーやOEMにおけるOSSライブラリの使用状況の可視化および脆弱性特定を可能とし、自動車へのサイバー攻撃を未然に防ぐことを目指しています。

(※10)

自動車業界では完成車メーカを意味する用語として使用される

(※11)

Tier1:OEMから一次請負をする総合部品メーカなどのサプライヤー

(※12)

Tier2:Tier1と直接取引する半導体の部品メーカなどのサプライヤー

(※13)

Tier3:Tier2と直接取引をする半導体IPベンダー(LSIを構成する機能ブロックを提供する企業)などのサプライヤー

まとめ

コネクテッドカーなど自動車業界での変革の影響によるソフトウェアコード行数の増加、サプライチェーンの複雑化などから、各ソフトウェアコンポーネントやその複雑な依存関係を把握し、適切に脆弱性対応できるよう管理することが重要になっています。特に車両に対するサイバー攻撃は人々の命に直接影響を及ぼす可能性があります。そのため安全性の確保が重要であり、サプライチェーン全体での脆弱性管理が求められています。そのため、さまざまな規則や法令で脆弱性管理に関する項目が定められています。その脆弱性管理手法の有効な手段としてSBOMがありますが、SBOMを構築し効率的かつ効果的に運用するためには、方法論の確立と従来の開発プロセスとの整合が必要です。

NTT DATAでは、組込みソフトウェアなどの車両独自のソフトウェアコンポーネントにも対応可能であるSBOMサービスに加え、国連規則に対するコンサルティング、セキュリティテストサービス、車両監視サービスであるVSOC(Vehicle SOC)等を提供しております。これらの多くのセキュリティサービスをご活用いただくことで、車両の保護、ひいては人命の安全性確保に寄与いたします。

NTT DATAが考える自動車業界の変革と新市場
https://www.nttdata.com/jp/ja/industries/mobility/

NTT技術ジャーナル:ソフトウェアサプライチェーンにおけるセキュリティの要:SBOM
https://journal.ntt.co.jp/article/23466

NTT サプライチェーンセキュリティリスクを低減する技術のフィールド実証を開始
https://group.ntt/jp/newsrelease/2022/11/09/221109b.html

ホワイトペーパー:V-SOC による高度な自動車サイバーセキュリティ
Higher Automotive Cybersecurity with V-SOC from NTT DATA(英語)

ニュース:Global Automotive Security Test Centerをイタリアに開設
Nasce il Global Automotive Security Test Center(イタリア語)

あわせて読みたい:

お問い合わせ