全1897文字
PR

 車載OS(基本ソフト)「QNX」を手掛けるカナダBlackBerry(ブラックベリー)は2021年8月6日、車載ソフトの構成管理ツール「Jarvis 2.0」を発表した。同社シニアバイスプレジデント兼BlackBerry Technology Solutions共同責任者のJohn Wall(ジョン・ウォール)氏が説明した。

ブラックベリーシニアバイスプレジデントのジョン・ウォール氏
ブラックベリーシニアバイスプレジデントのジョン・ウォール氏
(出所:ブラックベリー、オンライン会見の映像から)
[画像のクリックで拡大表示]

 同氏が責任者を務めるBlackBerry Technology Solutions部門(通称BTS)は、(1)QNX事業、(2)暗号やPKI(公開鍵暗号基盤)などを手掛けるCerticom(サーティコム)事業、(3)サイバーセキュリティーに関する事業を抱える。Jarvis 2.0は、(3)のセキュリティーに関するSaaS(Software as a Service)製品である。

 このツールは車載ソフトのバイナリーコードを解析し、その中に含まれるサードパーティー製のオープンソースソフトウエア(OSS)を「SBOM(ソフト部品表)」の形で管理できる。さらに公開されている脆弱性情報(CVE:共通脆弱性識別子)を利用して、ソフト部品の中にセキュリティー上の問題がないかチェックできる。OSSのほか、誰が開発したのか不明なSOUP(Software of Unknown Provenance)にも対応する。

 「米国ではサードパーティー製ソフトを組み込んだシステムがハッキングを受ける事案が多発している」(同氏)という。20年に発生した米SolarWinds(ソーラーウインズ)へのサイバー攻撃では、政府機関や重要インフラ企業などが標的となった。

 自動車業界では車載ソフトの多くがソースコードではなく、コンパイル後のバイナリーコードとして提供されるため、バイナリースキャンに対応したSBOM管理ツールが求められている。「サイバー攻撃へのリスクが高まる中、SBOM管理は自動車を含むさまざまな業界で標準的な慣行として普及するのではないか」(同氏)という。

 SBOM管理ツールには、例えば米Synopsys(シノプシス)の「Black Duck」がある。Black Duckとの違いについて、「組み込みシステムに最適化している点がJarvis 2.0の大きな特徴だ」(同氏)と説明した。QNXやLinuxに加え、米Green Hills Software(グリーン・ヒルズ・ソフトウエア)や同Wind River Systems(ウインドリバー・システムズ)のOS上で動くソフトにも対応する。

Jarvis 2.0の画面
Jarvis 2.0の画面
(出所:ブラックベリー)
[画像のクリックで拡大表示]