目次

• 自動車業界における変化
• 自動車を販売できなくなる？
• SBOMとは
• 自動車業界におけるSBOM
• まとめ

自動車業界における変化

CASE（※1）実現に向けてコネクテッド機能や自動運転機能などが搭載され、自動車の概念が大きく変化しています。新機能実現のために、AI関連企業などが次々とソフトウェア開発に参画しており、サプライチェーンの複雑化は避けられません。また、自動車に搭載されるECU（電子制御ユニット）は、2021年には自動車1台当たり平均29.6個であったものが、2035年には46.6個に達すると予測されています（※2）。それに伴い、ソフトウェアのコード行数も急激に増加し、2020年には自動車1台当たり2億行、2025年には6億行に達すると推測され（※3）、これは他分野のソフトウェアを凌駕した大きさです。（図1、2）

こうした変化を受けて、多くの自動車部品メーカ（サプライヤー）がOSS活用によるソフトウェア開発の効率化を図っています。一方で、サプライヤー自身がOSSを組込んでいるケースもあれば、採用したソフトウェアに既にOSSが組込まれているケースもあるなど、ソフトウェアは複雑に入り組んだ構成になります。そのため、どのコンポーネントにどのようなソフトウェアが組込まれているかを十分に把握できていない場合には、OSSの脆弱性が開発したシステムに及ぼす影響を瞬時に評価することができません。車両に対するサイバー攻撃は、自動運転車の場合は攻撃者による遠隔操作等、人命に関わる事故に発展する可能性もあるため、十分なセキュリティ対策を取ることが求められます。

自動車を販売できなくなる？

このような背景から、自動車業界におけるサイバーセキュリティ規制やガイドラインが策定されています。国連が発効したUN-R155（※5）やUN-R156（※6）では、サイバーセキュリティやソフトウェア更新への対策を求めています。また、サプライチェーン全体でのソフトウェアの構成やバージョンの管理と、それに関する脆弱性管理を義務付けています。対応策の妥当性を証明できない場合には、日本を含めた協定国での車両の販売が認められません（※7）。
自動車のサイバーセキュリティ対策について定めた国際標準規格のISO／SAE 21434では、車両の開発から廃棄までの全ライフサイクルにおいて脆弱性の分析や管理の必要性を示しています。自動車のライフスパンは10～15年間にもおよぶ可能性があるため、通常のITプロダクトと比較して脆弱性管理に対する責任を負う期間は非常に長くなるといえるでしょう。

SBOMとは

しかし、先述したようにサプライチェーンの複雑化やソフトウェアコード行数の増加によって、OSSを含めた全てのソフトウェアコンポーネントを把握し、脆弱性を管理することは簡単ではありません。では、どのように管理をすればよいのでしょうか。2021年の米国大統領令（※8）や経産省が策定した手引き（※9）では、複雑化したソフトウェアサプライチェーンに対するセキュリティ強化の具体的な対策方法が示されています。その方法がSBOM（Software Bill of Materials：ソフトウェア部品表）です。SBOMはさまざまなソフトウェアが対象ですが、責任の所在や依存関係が複雑な車載ソフトウェアに対しても有効です。
SBOMとはソフトウェアコンポーネントおよびそれらの関連情報をリスト化し、機械処理可能な形式にしたものです。

図3：SBOMの概念的イメージと実際のSBOMの例（※10）

図3のように、SBOMは「サプライヤー名」「コンポーネント名」「コンポーネントのバージョン」「依存関係」「SBOM作成者」「タイムスタンプ」「その他の一意な識別子」等の情報で構成されています。これにより、自社以外で作成された複雑な依存関係や構造を持つソフトウェアに対しても脆弱性の一元管理が可能となります。なお、SBOMの詳細な解説は以下をご覧ください。

自動車業界におけるSBOM

車両におけるSBOM作成の対象範囲は組込みシステム、リアルタイムOSや各車両機能に固有の独自ソフトウェアコンポーネントなど多岐にわたります。OEM（※10）がSBOM作成をする理想的な方法は、各サプライヤーがSBOMを作成し連携することです。これは、自動車業界においてはOEMやTier1（※11）が直接ソフトウェアコンポーネントを開発するケースは少なく、その多くはTier2（※12）やTier3（※13）によって開発されているためです。（図4）

図4：車載ソフトウェアにおけるサプライチェーン

しかし、実際には多くのサプライヤーやOEMではSBOM生成の仕組みが存在していません。ソフトウェア情報の連携が不十分である場合や、SBOMをExcelによって管理するなどSBOM運用体制が整備されていない場合がほとんどです。そのためSBOMを効率的かつ継続的に生成し、脆弱性分析を効果的に実施するための仕組みが必要です。

NTT DATAでは豊富なITとサイバーセキュリティの知見を基にした技術力、そして全世界に多くの拠点を持つグローバル力を生かしたさまざまなSBOMサービスを提供しています。

• サプライチェーンの各段階でOSSに関する情報をECU（電子制御ユニット）など車両独自のソフトウェアコンポーネントから抽出し、SBOMを効率的に作成するサービス
• 各段階で作成されたSBOMを統合し1つのプラットフォーム上で管理可能とするサービス
• 上記プラットフォームを活用した脆弱性モニタリングから対応までを行うサービス 等

サプライチェーンセキュリティを包括的かつ継続的に管理するマネージドサービスのグローバル提供体制を整えていきます。さまざまなサプライヤーやOEMにおけるOSSライブラリの使用状況の可視化および脆弱性特定を可能とし、自動車へのサイバー攻撃を未然に防ぐことを目指しています。

まとめ

コネクテッドカーなど自動車業界での変革の影響によるソフトウェアコード行数の増加、サプライチェーンの複雑化などから、各ソフトウェアコンポーネントやその複雑な依存関係を把握し、適切に脆弱性対応できるよう管理することが重要になっています。特に車両に対するサイバー攻撃は人々の命に直接影響を及ぼす可能性があります。そのため安全性の確保が重要であり、サプライチェーン全体での脆弱性管理が求められています。そのため、さまざまな規則や法令で脆弱性管理に関する項目が定められています。その脆弱性管理手法の有効な手段としてSBOMがありますが、SBOMを構築し効率的かつ効果的に運用するためには、方法論の確立と従来の開発プロセスとの整合が必要です。

NTT DATAでは、組込みソフトウェアなどの車両独自のソフトウェアコンポーネントにも対応可能であるSBOMサービスに加え、国連規則に対するコンサルティング、セキュリティテストサービス、車両監視サービスであるVSOC(Vehicle SOC)等を提供しております。これらの多くのセキュリティサービスをご活用いただくことで、車両の保護、ひいては人命の安全性確保に寄与いたします。