自動車業界向けSBOM(ソフトウェア部品表)活用ライフサイクル構築支援

コネクテッドカー・自動運転などの実現に向けてオープンソースソフトウェア(以下、OSS)活用の動きが加速していることを受け、サプライチェーン全体で製品セキュリティ品質を確保する施策として注目されているのが、ソフトウェアに含まれるコンポーネントを管理する仕組みであるソフトウェア部品表(以下、SBOM)の運用です。PwC JapanグループはSBOMの活用によるセキュリティ施策の高度化を支援します。

自動車業界におけるOSS活用の広まり

コネクテッドカー・自動運転などの機能は、従来の自動車製品に搭載されていた機能とは異なり、最先端のソフトウェア・IT技術を活用することによって実現されています。これらの機能を実現するAIやコネクテッド技術などに関するソフトウェアは、自動車関連企業のみでなく、IT通信企業やAI関連企業も開発に参画しており、内部ではOSSも活用されています。結果として、自動車業界においても最先端のソフトウェアの利用が広まっています。

自動車業界における OSS活用の広まり

高度なソフトウェア活用に伴うサプライチェーンリスクの高まりと課題

自動車業界で最先端のソフトウェアの活用が進み、それに付随してOSSが広まると、コネクテッドカー・自動運転車がOSSに含まれる脆弱性の影響を受けることになります。特に高性能かつ利便性も高く、広く活用されているOSSは、サイバー攻撃者にも注目されやすく、日々、新たな脆弱性や攻撃方法が見つかっているのが実情です。コネクテッドカー・自動運転車の開発では、OSS活用に伴うセキュリティリスクへの対処が求められています。

自動車業界でのセキュリティ対応では、OEMを中心として部品メーカーなど多くのサプライヤーによって製品が開発されているというサプライチェーンの構造も考慮する必要があります。自動車部品の開発でも前述のとおり最先端のソフトウェアが活用されており、OSSも広く使われています。自動車自体のセキュリティ確保には、自動車部品に含まれるOSSをOEMが全て把握することが求められますが、従来の開発手法・プロセスでは、全てのサプライヤーが利用しているソフトウェア(OSSを含む)の情報を管理することは現実的ではなく、OEM・サプライヤーが多大な労力をかけ、関連するOSSの脆弱性情報を収集し、脆弱性発見時に対処する必要がありました。

サプライチェーン全体を通じたSBOMライフサイクルの構築・運用

こうしたOSS活用に伴うセキュリティリスクへの対応として、現在SBOMが注目されています。SBOMは、ソフトウェアに含まれるコンポーネントの情報をデータベース化して管理し、組織を越えて相互運用できるように標準化するツールです。

OEMとサプライヤーが相互に連携してSBOMを構築することで、自動車に含まれるOSSおよび関連するソフトウェアの脆弱性を適切かつ効率的に管理することができるようになります。

SBOM活用のポイント

SBOM活用の ポイント

※TI:Threat intelligence(脅威インテリジェンス)
※CI:Cyber intelligence(サイバーインテリジェンス

PwC Japanグループでは、製品ライフサイクルに合わせてSBOMを作成・活用するSBOMライフサイクルの構築を支援します。また、サプライチェーンにおけるSBOM活用プロセス・メソッド構築をサポートすることで、サプライチェーン全体でのセキュリティ施策・プロセスの効率化・高度化に寄与します。

製品 ライフサイクル

脆弱性管理の実効力を高めるSBOM

11 results
Loading...

ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか

SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。

欧州サイバーレジリエンス法~製造業が今すぐに取るべき対策~

欧州サイバーレジリエンス法(CRA)は、デジタル要素を含む製品のサイバーセキュリティを強化するための規則です。対象製品は規則に準拠していることを示すCEマークが必要となります。本稿では、製造業者が対応すべきCRAの法令要件の範囲やCEマーク利用のための適合性評価の流れを解説します。

Loading...

インサイト/ニュース

20 results
Loading...

パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況

プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。

脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―

昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。

Loading...

主要メンバー

林 和洋

パートナー, PwCコンサルティング合同会社

Email

村上 純一

パートナー, PwCコンサルティング合同会社

Email

奥山 謙

ディレクター, PwCコンサルティング合同会社

Email