自動車業界で急務のサイバーセキュリティ対策はSBOM活用で高度化を

　「サイバーセキュリティ対策が実施されていない自動車は、日本の保安基準を満たしていないと見なされ、2022年 7月以降に販売される一部車両から販売認可が得られなくなる。その対応に自動車業界全体が追われている」― ―。ベリサーブ ソリューション事業部の藤原 洋平 氏（写真1）は、自動車業界の現状を、こう解説する。

　具体的には、自動車のサイバーセキュリティ活動を実現するための要求事項を定義した国際標準「ISO／SAE 21434」への対応だ。ISO／SAE 21434は、自動車の電気・電子システムにおける、企画から廃棄までのサイバーセキュリティ管理のエンジニアリング要件を定める。

　そのISO／SAE 21434を参照する形で、国際連合欧州経済委員会（UN／ECE）が 2022年1月、「UN-R155自動車サイバーセキュリティ法規」を施行。日本では、そのUN-R155を「道路運送車両法」に取り込んでいる。

写真1：ベリサーブ ソリューション事業部の藤原 洋平 氏

サイバーセキュリティ関連情報の共有策としてSBOMに期待

　サイバーセキュリティ活動の1つであるSIRT（Security Incident Response Team）活動において、その出発点になるのは、「サイバーセキュリティ情報の収集」（藤原氏）である。それを基に、自社の製品／サービスに関するセキュリティイベントを把握・評価し、実装ミスや仕様の不具合に起因する弱点と判断されたものが「セキュリティの脆弱性だとみなされる」（同）

　もっとも自動車業界のサプライチェーンは、自動車メーカーを頂点に部品メーカーなど、その裾野は極めて広範だ。脆弱性があれば当然、納品先にも影響を及ぼし、その対策に当たっては個社を越えたサプライチェーン全体での情報共有が欠かせない。ただ現実には、「具体的に何を、どう共有すべきかが課題になっている」と藤原氏は指摘する。

　情報共有のための“解”として注目を集めているのが「SBOM（Software Bill Of Materials：ソフトウェア部品表）」の活用である。SBOMは、ソフトウェア間の依存関係を一覧化したリストだ（図1）。

図1：SBOM（Software Bill Of Materials：ソフトウェア部品表）に記録されているソフトウェアの依存関係など

　自動車に搭載されるソフトウェアは増える一方で、その種類も多岐にわたる。中でもOSS（オープンソースソフトウェア）は、「依存関係が複雑になりやすく、自社製品に知らぬ間に利用してしまっているケースが存在するなど“ブラックボックス化”が起こっている」と藤原氏は話す。調達先の製品であれば、全ソフトウェアの把握は、なおさら難しい。

　その“ブラックボックス化”を、SBOMをサプライチェーン全体で共有すれば打破できるとの期待が高まっている。SBOMの作成・管理・運用・共有により自社製品に関わる全ソフトウェアを可視化することで、サプライチェーン全体でのセキュリティリスクや、知らぬ間にソフトウェアを利用していることに起因するコンプライアンス違反リスクなどの低減が見込まれる。

　SBOMに対しては、米国のバイデン大統領が2021年1月、デジタルインフラの透明性を高める策としてSBOMによる管理を盛り込んだ大統領令に署名。それに先立つ2019年には、日本の経済産業省がタスクフォースを立ち上げ、SBOMに関する議論と実証実験を実施している。UN-R155でもSBOMの提出を求めるなど、「SBOMの共有は深刻化するセキュリティリスクへの対策の世界標準になりつつある」（藤原氏）わけだ。