
ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
コネクテッドカー・自動運転などの実現に向けてオープンソースソフトウェア(以下、OSS)活用の動きが加速していることを受け、サプライチェーン全体で製品セキュリティ品質を確保する施策として注目されているのが、ソフトウェアに含まれるコンポーネントを管理する仕組みであるソフトウェア部品表(以下、SBOM)の運用です。PwC JapanグループはSBOMの活用によるセキュリティ施策の高度化を支援します。
コネクテッドカー・自動運転などの機能は、従来の自動車製品に搭載されていた機能とは異なり、最先端のソフトウェア・IT技術を活用することによって実現されています。これらの機能を実現するAIやコネクテッド技術などに関するソフトウェアは、自動車関連企業のみでなく、IT通信企業やAI関連企業も開発に参画しており、内部ではOSSも活用されています。結果として、自動車業界においても最先端のソフトウェアの利用が広まっています。
自動車業界で最先端のソフトウェアの活用が進み、それに付随してOSSが広まると、コネクテッドカー・自動運転車がOSSに含まれる脆弱性の影響を受けることになります。特に高性能かつ利便性も高く、広く活用されているOSSは、サイバー攻撃者にも注目されやすく、日々、新たな脆弱性や攻撃方法が見つかっているのが実情です。コネクテッドカー・自動運転車の開発では、OSS活用に伴うセキュリティリスクへの対処が求められています。
自動車業界でのセキュリティ対応では、OEMを中心として部品メーカーなど多くのサプライヤーによって製品が開発されているというサプライチェーンの構造も考慮する必要があります。自動車部品の開発でも前述のとおり最先端のソフトウェアが活用されており、OSSも広く使われています。自動車自体のセキュリティ確保には、自動車部品に含まれるOSSをOEMが全て把握することが求められますが、従来の開発手法・プロセスでは、全てのサプライヤーが利用しているソフトウェア(OSSを含む)の情報を管理することは現実的ではなく、OEM・サプライヤーが多大な労力をかけ、関連するOSSの脆弱性情報を収集し、脆弱性発見時に対処する必要がありました。
こうしたOSS活用に伴うセキュリティリスクへの対応として、現在SBOMが注目されています。SBOMは、ソフトウェアに含まれるコンポーネントの情報をデータベース化して管理し、組織を越えて相互運用できるように標準化するツールです。
OEMとサプライヤーが相互に連携してSBOMを構築することで、自動車に含まれるOSSおよび関連するソフトウェアの脆弱性を適切かつ効率的に管理することができるようになります。
※TI:Threat intelligence(脅威インテリジェンス)
※CI:Cyber intelligence(サイバーインテリジェンス)
PwC Japanグループでは、製品ライフサイクルに合わせてSBOMを作成・活用するSBOMライフサイクルの構築を支援します。また、サプライチェーンにおけるSBOM活用プロセス・メソッド構築をサポートすることで、サプライチェーン全体でのセキュリティ施策・プロセスの効率化・高度化に寄与します。
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
欧州サイバーレジリエンス法(CRA)は、デジタル要素を含む製品のサイバーセキュリティを強化するための規則です。対象製品は規則に準拠していることを示すCEマークが必要となります。本稿では、製造業者が対応すべきCRAの法令要件の範囲やCEマーク利用のための適合性評価の流れを解説します。
サイバーセキュリティリスクが増している現状において、企業のセキュリティ対応の要となる組織の1つがCSIRTです。日本のCSIRTによく見られる課題や、CSIRTの成熟度評価、それを行うメリットを解説します。
PwCコンサルティング合同会社は2023年10月、日本国内の製品メーカーで働く580人を対象に、セキュリティ対策状況に関する調査を実施しました。本稿では調査結果を基に、日本の製品メーカーの製品セキュリティに対する意識・対応状況について解説します。
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。