全3000文字
PR

 自動車のサイバーセキュリティー対策が2022年から義務化されることを受け、車載ソフトウエアの脆弱性を評価、管理する技術に注目が集まっている。イスラエルの新興企業Cybellum(サイベラム)は、「サイバーデジタルツイン」と呼ぶ独自技術を強みに、日産自動車やフランスRenault(ルノー)・日産・三菱自動車の3社連合、ドイツAudi(アウディ)など、大手自動車メーカーとの連携を加速している。

デジタルツインを使って脆弱性を管理
デジタルツインを使って脆弱性を管理
(出所:サイベラム)
[画像のクリックで拡大表示]

 サイベラムのツールは、車載ソフトのバイナリーコードを解析してサイバーセキュリティー上の脆弱性を見つけ出す。最大の特徴は、バイナリーコードを解析する際に、セキュリティーに関連する情報を抽出し、それ以降は抽出した情報を使って脆弱性を継続的に管理する点である。この技術を同社は“サイバーデジタルツイン”と呼んでいる。

サイバーデジタルツインの解説ブログ:What Are Cyber Digital Twins - Definition & Use Cases

 具体的には、SBOM(ソフトウエア部品表)、ライセンス、ハードウエアアーキテクチャー、OS(基本ソフト)構成、暗号化メカニズム、制御フロー、API(Application Programming Interface)呼び出しなどの情報を抽出する。「バイナリーコードそのものを保管する場合に比べて、サーバー上のストレージ容量を劇的に削減できる」(サイベラム日本法人ジェネラルマネージャーの奥田正和氏)という。また、「脆弱性のチェックで漏れが生じることもない」(同氏)とする。

サイベラム日本法人ジェネラルマネージャーの奥田正和氏
サイベラム日本法人ジェネラルマネージャーの奥田正和氏
(出所:サイベラム)
[画像のクリックで拡大表示]

 このサイバーデジタルツインと、公開されている脆弱性のデータベースなどを組み合わせて、車載ソフトのセキュリティー健全性を継続的にチェックする。その際、非公開の情報も活用するという。例えば、「ダークWebと呼ばれる闇サイトで話題になっている脆弱性は、危険性が高いと判断する」(同氏)。サイベラムのCEO(最高経営責任者)とCTO(最高技術責任者)はいずれもイスラエル軍のセキュリティー部門の出身であり、脆弱性を把握するノウハウに強みを持つ。