
ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
コネクテッドカー・自動運転などの実現に向けてオープンソースソフトウェア(以下、OSS)活用の動きが加速していることを受け、サプライチェーン全体で製品セキュリティ品質を確保する施策として注目されているのが、ソフトウェアに含まれるコンポーネントを管理する仕組みであるソフトウェア部品表(以下、SBOM)の運用です。PwC JapanグループはSBOMの活用によるセキュリティ施策の高度化を支援します。
コネクテッドカー・自動運転などの機能は、従来の自動車製品に搭載されていた機能とは異なり、最先端のソフトウェア・IT技術を活用することによって実現されています。これらの機能を実現するAIやコネクテッド技術などに関するソフトウェアは、自動車関連企業のみでなく、IT通信企業やAI関連企業も開発に参画しており、内部ではOSSも活用されています。結果として、自動車業界においても最先端のソフトウェアの利用が広まっています。
自動車業界で最先端のソフトウェアの活用が進み、それに付随してOSSが広まると、コネクテッドカー・自動運転車がOSSに含まれる脆弱性の影響を受けることになります。特に高性能かつ利便性も高く、広く活用されているOSSは、サイバー攻撃者にも注目されやすく、日々、新たな脆弱性や攻撃方法が見つかっているのが実情です。コネクテッドカー・自動運転車の開発では、OSS活用に伴うセキュリティリスクへの対処が求められています。
自動車業界でのセキュリティ対応では、OEMを中心として部品メーカーなど多くのサプライヤーによって製品が開発されているというサプライチェーンの構造も考慮する必要があります。自動車部品の開発でも前述のとおり最先端のソフトウェアが活用されており、OSSも広く使われています。自動車自体のセキュリティ確保には、自動車部品に含まれるOSSをOEMが全て把握することが求められますが、従来の開発手法・プロセスでは、全てのサプライヤーが利用しているソフトウェア(OSSを含む)の情報を管理することは現実的ではなく、OEM・サプライヤーが多大な労力をかけ、関連するOSSの脆弱性情報を収集し、脆弱性発見時に対処する必要がありました。
こうしたOSS活用に伴うセキュリティリスクへの対応として、現在SBOMが注目されています。SBOMは、ソフトウェアに含まれるコンポーネントの情報をデータベース化して管理し、組織を越えて相互運用できるように標準化するツールです。
OEMとサプライヤーが相互に連携してSBOMを構築することで、自動車に含まれるOSSおよび関連するソフトウェアの脆弱性を適切かつ効率的に管理することができるようになります。
※TI:Threat intelligence(脅威インテリジェンス)
※CI:Cyber intelligence(サイバーインテリジェンス)
PwC Japanグループでは、製品ライフサイクルに合わせてSBOMを作成・活用するSBOMライフサイクルの構築を支援します。また、サプライチェーンにおけるSBOM活用プロセス・メソッド構築をサポートすることで、サプライチェーン全体でのセキュリティ施策・プロセスの効率化・高度化に寄与します。
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
欧州サイバーレジリエンス法(CRA)は、デジタル要素を含む製品のサイバーセキュリティを強化するための規則です。対象製品は規則に準拠していることを示すCEマークが必要となります。本稿では、製造業者が対応すべきCRAの法令要件の範囲やCEマーク利用のための適合性評価の流れを解説します。
サイバーセキュリティリスクが増している現状において、企業のセキュリティ対応の要となる組織の1つがCSIRTです。日本のCSIRTによく見られる課題や、CSIRTの成熟度評価、それを行うメリットを解説します。
PwCコンサルティング合同会社は2023年10月、日本国内の製品メーカーで働く580人を対象に、セキュリティ対策状況に関する調査を実施しました。本稿では調査結果を基に、日本の製品メーカーの製品セキュリティに対する意識・対応状況について解説します。
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
各国サイバーセキュリティ法令・政策動向シリーズの第3回目として、シンガポールのデジタル戦略やサイバーセキュリティへの取り組みについて、最新情報を解説します。
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。