{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
コネクテッドカー・自動運転などの実現に向けてオープンソースソフトウェア(以下、OSS)活用の動きが加速していることを受け、サプライチェーン全体で製品セキュリティ品質を確保する施策として注目されているのが、ソフトウェアに含まれるコンポーネントを管理する仕組みであるソフトウェア部品表(以下、SBOM)の運用です。PwC JapanグループはSBOMの活用によるセキュリティ施策の高度化を支援します。
コネクテッドカー・自動運転などの機能は、従来の自動車製品に搭載されていた機能とは異なり、最先端のソフトウェア・IT技術を活用することによって実現されています。これらの機能を実現するAIやコネクテッド技術などに関するソフトウェアは、自動車関連企業のみでなく、IT通信企業やAI関連企業も開発に参画しており、内部ではOSSも活用されています。結果として、自動車業界においても最先端のソフトウェアの利用が広まっています。
自動車業界で最先端のソフトウェアの活用が進み、それに付随してOSSが広まると、コネクテッドカー・自動運転車がOSSに含まれる脆弱性の影響を受けることになります。特に高性能かつ利便性も高く、広く活用されているOSSは、サイバー攻撃者にも注目されやすく、日々、新たな脆弱性や攻撃方法が見つかっているのが実情です。コネクテッドカー・自動運転車の開発では、OSS活用に伴うセキュリティリスクへの対処が求められています。
自動車業界でのセキュリティ対応では、OEMを中心として部品メーカーなど多くのサプライヤーによって製品が開発されているというサプライチェーンの構造も考慮する必要があります。自動車部品の開発でも前述のとおり最先端のソフトウェアが活用されており、OSSも広く使われています。自動車自体のセキュリティ確保には、自動車部品に含まれるOSSをOEMが全て把握することが求められますが、従来の開発手法・プロセスでは、全てのサプライヤーが利用しているソフトウェア(OSSを含む)の情報を管理することは現実的ではなく、OEM・サプライヤーが多大な労力をかけ、関連するOSSの脆弱性情報を収集し、脆弱性発見時に対処する必要がありました。
こうしたOSS活用に伴うセキュリティリスクへの対応として、現在SBOMが注目されています。SBOMは、ソフトウェアに含まれるコンポーネントの情報をデータベース化して管理し、組織を越えて相互運用できるように標準化するツールです。
OEMとサプライヤーが相互に連携してSBOMを構築することで、自動車に含まれるOSSおよび関連するソフトウェアの脆弱性を適切かつ効率的に管理することができるようになります。
※TI:Threat intelligence(脅威インテリジェンス)
※CI:Cyber intelligence(サイバーインテリジェンス)
PwC Japanグループでは、製品ライフサイクルに合わせてSBOMを作成・活用するSBOMライフサイクルの構築を支援します。また、サプライチェーンにおけるSBOM活用プロセス・メソッド構築をサポートすることで、サプライチェーン全体でのセキュリティ施策・プロセスの効率化・高度化に寄与します。