バイナリーへの静的解析で車載ソフトのセキュリティ評価期間を6000分の1に短縮：オートモーティブワールド2018

　QNXソフトウェアシステムズは、「オートモーティブワールド2018」（2018年1月17〜19日、東京ビッグサイト）において、組み込みソフトウェアのバイナリーコードに対する静的解析が可能なクラウドベースのテストツール「BlackBerry Jarvis」を展示した。同年1月16日に発表したばかりの製品だが、既に複数の自動車メーカーや大手ティア1サプライヤーが先行ユーザーとなっており、当初は自動車業界向けを中心に展開していく方針だ。

「BlackBerry Jarvis」について説明するBlackBerry QNXのグラント・クールビル氏

「BlackBerry Jarvis」の画面例。クラウドベースのツールになっている（クリックで拡大）

　BlackBerry Jarvisは、ADAS（先進運転支援システム）や自動運転システムなどの導入によって急速に進んでいる車載ソフトウェアの複雑化によって生み出される、脆弱性などのセキュリティ上の問題を検出する静的解析ツールだ。最大の特徴は、一般的な静的解析ツールがソースコードを対象とするのに対して、BlackBerry Jarvisはバイナリーコードを対象とする点だ。BlackBerry QNX オートモーティブ＆エンベデッド担当シニアディレクターのグラント・クールビル（Grant Courville）氏は「OS、アップリンク、ミドルウェア、アプリケーションをはじめ、どんなバイナリーコードに対しても静的解析を行える、市場で唯一の製品だ。ソースコードではなく、実行可能な最終結果であるバイナリーコードのセキュリティの問題を見つけ出せることは、複雑性が増す車載ソフトウェアの開発者の助けになるだろう。先行ユーザーからも他にないソリューションという評価を得ている」と説明する。

　IoT（モノのインターネット）時代を迎え、組み込みソフトウェアの規模はどんどん大きくなっている。特に、自動車に用いられる車載ソフトウェアは、高級車の場合でコード行数が1億行を超えるとも言われている。そして、大規模かつ複雑になっている車載ソフトウェアのサプライチェーンも拡大している。各サプライヤーのソースコードに問題はなくても、実行形式であるバイナリーコードに統合した際に問題が生まれる可能性もあるのだ。

　ブラックベリー（BlackBerry）は、携帯電話機の開発で培ってきた経験を生かし、社内ツールとしてBlackBerry Jarvisを運用していた。現在ブラックベリーは、携帯電話機メーカーからセキュリティベンダーへの移行を進めている（関連記事：QNXは車載ソフトの安全とセキュリティを重視「AndroidやLinuxは脆弱性だらけ」）。「そこで、社内利用で高い評価を得ていたBlackBerry Jarvisを、QNX製品などで豊富な採用実績を持つとともに、車載ソフトウェアの大規模化と複雑化でセキュリティ面の悩みを抱えていた自動車業界から展開を始めることにした」（クールビル氏）という。

　実際に、先行ユーザーの1社であるJaguar Land Rover（JLR）によれば、コードのセキュリティ評価期間を従来の30日から6000分の1以下となる7分に短縮できたという。

　今後のロードマップとしては、自動車に次いで、医療機器や産業機器、石油／ガスなどといった分野への展開を検討している。また、現時点でBlackBerry Jarvisはクラウドベースのツールだが「クラウドを使わないオンプレミスでの利用に関する要望があることは理解しており、今後のロードマップとして検討している」（同氏）としている。