　SBOMで識別されたコンポーネントとそのバージョンに基づいて、関連する脆弱性情報を特定することも可能だ。例えば、SBOMがソフトウェアコンポーネントの特定のバージョンを識別した場合、その特定のバージョンのソフトウェアに関連する既知の脆弱性情報、つまりCVE番号と該当するCVSSスコア（Common Vulnerability Scoring System、すなわち脆弱性の深刻度の評価）のリストを抽出することができる。

　一例として、図4のSBOMでは、あるインフォテインメントシステムにLinuxカーネルバージョン4.4.26が含まれていることが示されている^（※17）。ソフトウェアコンポジション解析ツールの結果として、このLinuxカーネルで特定された110個の重大な脆弱性（CVE）の1つにCVE-2017-1000251がある。NVD（National Vulnerability Database）の詳細情報にはこれがLinuxカーネルのリモートコード実行を可能とするBluetooth関連の脆弱性であることが示されている^（※18）。この特定された脆弱性は、82億台を超えるデバイスに影響を与えた有名なBlueborneの脆弱性である^（※19）。

（※17）岡デニス健五, “オートモーティブのソフトウェア開発ライフサイクルにおけるセキュリティ戦略の世界の潮流”, オートモーティブ・ソフトウェア・フロンティア, 2018

（※18）NVD, “CVE-2017-1000251 Detail”, https://nvd.nist.gov/vuln/detail/CVE-2017-1000251

（※19）MONOist“Bluetoothの脆弱性「BlueBorne」はIoT機器を狙う!?”

図4：CVE-2017-1000251（Blueborneの脆弱性）を含むLinuxカーネルを含むSBOM。

　さらに、ISO/SAE 21434^（※20）およびUN R155^（※21）には、サプライチェーン管理に関する要件とサイバーセキュリティの証拠（エビデンス）に関する要件が含まれている。従って、自動車業界にとって、サプライヤーから上流に提供される情報についての共通の理解と合意を得ることがますます重要になってきている。

　OpenChainはライセンスコンプライアンスに重点を置いているが、脆弱性の管理についても同様のアプローチをとることができるであろう。例えば、SBOMのソフトウェアコンポーネントに関連する既知の脆弱性と該当するセキュリティリスクの情報を提供することが可能だ。サプライチェーンで使用する共通のフォーマットについて合意することは、全ての関係者にとって有益であり、業界が協力して達成する必要がある。

（※20）ISO, “ISO/SAE FDIS 21434 Road vehicles - Cybersecurity engineering”, https://www.iso.org/standard/70918.html

（※21）UNECE, “UN Regulation No. 155 - Cyber security and cyber security management system”, https://unece.org/transport/documents/2021/03/standards/un-regulation-no-155-cyber-security-and-cyber-security

まとめ

　自動車業界でソフトウェアを開発するより多くの組織がOSS管理とさまざまなISO規格に従うために内部プロセスを確立するにつれて、ライセンスコンプライアンスとセキュリティの課題対処に、サプライチェーンの信頼を構築するためのより組織化されたアプローチが見られるようになるだろう。ソフトウェアコンポジション解析ツールなどの自動化ツールを使用して、ライセンスと脆弱性に関する正確な情報を含むSBOMを効率的に生成することが最も重要になる。さらに、OSS管理に関するサプライチェーンのさまざまな関係者間の共通の理解が、イノベーションを推進し、自動車業界を変革し、将来の車載システムでより高度で革新的なソリューションを可能にするであろう。

著者プロフィール

岡デニス健五

日本シノプシス合同会社のソフトウェアインテグリティグループにてプリンシパルオートモーティブセキュリティストラテジストとしてセキュリティソリューション業務に従事。2006年より車載セキュリティを専門としている。

過去にはスウェーデンでボルボの自動車セキュリティ研究を始め、リモート診断やOTA（over-the-air）アップデートを専門としていた。前職のBoschグループでは国内とグローバルの顧客対応に従事。日本とAPACのエンジニアリング及びコンサルティングマネージャーとして特に車載セキュリティの部署（ESCRYPT）の設立に協力し貢献した。

現在、日本シノプシスでは自動車セキュリティのソリューション、主にソフトウェア開発ライフサイクルとサプライチェーンに特化したソリューションを提供しており、60以上の執筆を手掛け、世界中で講演も多数行っている。

→連載「セキュアな車載ソフトウェア開発の在り方」バックナンバー

避けて通れぬ自動車のセキュリティ、ソフトウェア開発は何をすべきか
サイバーセキュリティにさらに力を入れるには、ソフトウェア開発のライフサイクル中のサイバーセキュリティ活動も含めて、自動車業界における文化的および組織的なシフトの必要性がある。自動車業界の課題や解決策について解説していく。
車載ソフトウェアのコーディングの課題と、実用的な解決策
静的コード解析やソフトウェアコンポジション解析、ファジングテストの使用など、車載ソフトウェア開発ライフサイクルのセキュリティを向上させるソリューションの概要を説明した前回の記事に続き、今回は静的コード解析をテーマにする。最初にコーディングの問題について説明し、次に実用的な解決策について解説する。
レッドハットが車載ソフトウェア、車載Linuxの機能安全対応や保守管理を支援
Red Hat（レッドハット）が車載ソフトウェアに参入する。車載情報機器で採用拡大が見込まれる車載Linux向けに、開発ツールやコンポーネントを展開する。車載情報機器向けのOSはGoogle（グーグル）の「Android」と車載Linuxの2つが主流となっており、グーグルへの依存を懸念する自動車メーカーやサプライヤーが車載Linuxに注目している状況だ。
トヨタのオープンソース活用戦略、コネクテッドカーは「協力」でできている
Linuxベースの車載情報機器関連のオープンソースプロジェクトAutomotive Grade Linux（AGL）が開発者向けイベント「Automotive Linux Summit」を開催。その基調講演にトヨタ自動車コネクティッドカンパニーコネクティッド戦略企画グループプロジェクトゼネラルマネージャーの村田賢一氏と、トヨタ自動車知的財産部コネクティッドビークルグループプログラムマネージャーの遠藤雅人氏が登壇した。
「Androidに依存できない」、日系自動車メーカーが取り組む車載Linux活用
Linuxベースの車載情報機器関連のオープンソースプロジェクトAutomotive Grade Linux（AGL）による開発者向けイベント「Automotive Linux Summit」（2019年7月17～19日、虎ノ門ヒルズフォーラム）に合わせて、AGLメンバーの自動車メーカーらがAGLを使ったさまざまなデモンストレーションを実施した。
車載Linuxはインフォテインメント以外にも拡大、自動運転と機能安全に焦点
Linuxベースの車載情報機器関連のオープンソースプロジェクトAutomotive Grade Linux（AGL）は開発者向けイベント「Automotive Linux Summit」（2019年7月17～19日、虎ノ門ヒルズフォーラム）を開催。基調講演では、Linux FoundationでAGL担当エグゼクティブディレクターを務めるDan Cauchy氏が、AGLの現状や、インフォテインメントシステム以外の取り組みなど今後の方針について説明した。