全2359文字
PR

 自動車のサイバーセキュリティー対策が2022年から義務化されることを受け、車載ソフトウエアの脆弱性を評価、管理する技術に注目が集まっている。イスラエルの新興企業Cybellum(サイベラム)は、「サイバーデジタルツイン」と呼ぶ技術を強みに、フランスRenault(ルノー)・日産自動車・三菱自動車の3社連合、ドイツAudi(アウディ)など、大手自動車メーカーとの連携を加速している。

 サイベラムのツールは、車載ソフトのバイナリーコードを解析してサイバーセキュリティー上の脆弱性を見つけ出す。最大の特徴は、解析する際に、セキュリティーに関連する属性情報を抽出し、それ以降は属性情報を使って脆弱性を継続的に管理する点である。この技術を同社はサイバーデジタルツインと呼んでいる。

 具体的には、SBOM(ソフトウエア部品表)、ライセンス、ハードウエアアーキテクチャー、OS(基本ソフト)構成、暗号化メカニズム、制御フロー、API(Application Programming Interface)呼び出しなどの情報を抽出する。これらの属性情報を使えば、「脆弱性のチェックで漏れが生じることはない」(サイベラム日本法人ジェネラルマネージャーの奥田正和氏)という(図1)。

図1 車載ソフトの構成管理ツールを発表
図1 車載ソフトの構成管理ツールを発表
(a)サイベラム日本法人ジェネラルマネージャーの奥田正和氏。(b)脆弱性管理ツールの画面。(出所:サイベラム)
[画像のクリックで拡大表示]

 属性情報と、公開されている脆弱性のデータベースなどを組み合わせて、車載ソフトのセキュリティー状態をチェックする注)。その際、非公開の情報も活用するという。例えば、「闇サイトで話題になっている脆弱性は、危険性が高いと判断する」(同氏)。サイベラムのCEO(最高経営責任者)とCTO(最高技術責任者)はいずれもイスラエル軍のセキュリティー部門の出身であり、脆弱性を把握するノウハウに強みを持つ。

注)ソフトの脆弱性をチェックするツールは多くがIT向けであり、「自動車向けには使いにくい」(奥田氏)という。自動車メーカーや1次部品メーカー(ティア1)が自前で開発したソフトなら、設計図であるソースコードを解析するIT向けのツールが使える。ところが、車載ソフトのほとんどは部品メーカーや下請け企業が開発しており、自動車メーカーやティア1はソースコードを持たないことが多い。そこでソースコードではなく、個々の部品に組み込まれたバイナリーコードを解析する。バイナリーコードを解析できるIT系のツールも存在するが、「車載マイコンなどで動くクルマ特有の組み込みソフトの形式には対応していないことが多い」(同氏)という。サイベラムのツールは、さまざまな形式の組み込みソフトでバイナリー解析が可能だ。