全3914文字
PR
写真:サイベラム
写真:サイベラム
[画像のクリックで拡大表示]

トヨタ自動車が「ソフトウエア部品表(Software Bill of Materials:SBOM)」の活用に力を入れている。SBOMによって車載ソフトに含まれる脆弱性を管理し、自動車へのサイバー攻撃を未然に防ぐのが狙いだ。今後、自動車のサプライチェーンにおいてSBOMが契約の要件に盛り込まれる可能性が高い。

 コネクテッド機能や先進運転支援システム(ADAS)などの普及を背景に、車載ソフトウエアは大規模化、複雑化の一途をたどっている。中でも、コネクテッド機能を持つ車載情報システム(IVI)は、オープンソースソフト(OSS)の比率が高く、OSSの脆弱性を突くサイバー攻撃のリスクが高まっている。

 車載ソフトに含まれるOSSなどの構成要素をすべて一覧表にした「ソフトウエア部品表(Software Bill of Materials:SBOM)」を使い、脆弱性の有無を把握することは、サイバー攻撃を未然に防ぐ上で重要である。これまではSBOMの作り方やフォーマットなどの仕様が統一されておらず、SBOMの活用は自動車業界ではあまり進んでいなかった。ここへ来て、2020年12月にSBOMの仕様が国際標準「ISO/IEC 5230」として固まり、普及への期待が高まっている。

 ISO/IEC 5230は、米Linux Foundation傘下のプロジェクト「OpenChain」が策定した仕様を基にする。同プロジェクトには、米Google(グーグル)や同Microsoft(マイクロソフト)などのIT大手に加え、自動車関連の企業も参画している。中でもトヨタ自動車は17年から同プロジェクトに参加し、積極的に推進してきた。ISO/IEC 5230への準拠を発表した最初の企業もトヨタである。

 同標準は自動車に限らず、IT分野などの幅広いソフトを対象にしているが、トヨタが活動に力を入れていることから、「今後、車載ソフトのサプライチェーンにSBOMが浸透する可能性が高い」(日本シノプシス ソフトウェア・インテグリティ・グループ プリンシパル・オートモーティブ・セキュリティストラテジストの岡デニス健五氏)とみられる。車載ソフトはさまざまな企業が開発に関わるため、サプライチェーンが複雑で、責任の所在が曖昧になりがちだ。SBOMを使えば、サプライチェーンのどこに問題があるのか、ひと目で分かる。