ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
自動車業界向けSBOM(ソフトウェア部品表)活用ライフサイクル構築支援
コネクテッドカー・自動運転などの実現に向けてオープンソースソフトウェア(以下、OSS)活用の動きが加速していることを受け、サプライチェーン全体で製品セキュリティ品質を確保する施策として注目されているのが、ソフトウェアに含まれるコンポーネントを管理する仕組みであるソフトウェア部品表(以下、SBOM)の運用です。PwC JapanグループはSBOMの活用によるセキュリティ施策の高度化を支援します。
自動車業界におけるOSS活用の広まり
コネクテッドカー・自動運転などの機能は、従来の自動車製品に搭載されていた機能とは異なり、最先端のソフトウェア・IT技術を活用することによって実現されています。これらの機能を実現するAIやコネクテッド技術などに関するソフトウェアは、自動車関連企業のみでなく、IT通信企業やAI関連企業も開発に参画しており、内部ではOSSも活用されています。結果として、自動車業界においても最先端のソフトウェアの利用が広まっています。
高度なソフトウェア活用に伴うサプライチェーンリスクの高まりと課題
自動車業界で最先端のソフトウェアの活用が進み、それに付随してOSSが広まると、コネクテッドカー・自動運転車がOSSに含まれる脆弱性の影響を受けることになります。特に高性能かつ利便性も高く、広く活用されているOSSは、サイバー攻撃者にも注目されやすく、日々、新たな脆弱性や攻撃方法が見つかっているのが実情です。コネクテッドカー・自動運転車の開発では、OSS活用に伴うセキュリティリスクへの対処が求められています。
自動車業界でのセキュリティ対応では、OEMを中心として部品メーカーなど多くのサプライヤーによって製品が開発されているというサプライチェーンの構造も考慮する必要があります。自動車部品の開発でも前述のとおり最先端のソフトウェアが活用されており、OSSも広く使われています。自動車自体のセキュリティ確保には、自動車部品に含まれるOSSをOEMが全て把握することが求められますが、従来の開発手法・プロセスでは、全てのサプライヤーが利用しているソフトウェア(OSSを含む)の情報を管理することは現実的ではなく、OEM・サプライヤーが多大な労力をかけ、関連するOSSの脆弱性情報を収集し、脆弱性発見時に対処する必要がありました。
サプライチェーン全体を通じたSBOMライフサイクルの構築・運用
こうしたOSS活用に伴うセキュリティリスクへの対応として、現在SBOMが注目されています。SBOMは、ソフトウェアに含まれるコンポーネントの情報をデータベース化して管理し、組織を越えて相互運用できるように標準化するツールです。
OEMとサプライヤーが相互に連携してSBOMを構築することで、自動車に含まれるOSSおよび関連するソフトウェアの脆弱性を適切かつ効率的に管理することができるようになります。
SBOM活用のポイント
※TI:Threat intelligence(脅威インテリジェンス)
※CI:Cyber intelligence(サイバーインテリジェンス)
PwC Japanグループでは、製品ライフサイクルに合わせてSBOMを作成・活用するSBOMライフサイクルの構築を支援します。また、サプライチェーンにおけるSBOM活用プロセス・メソッド構築をサポートすることで、サプライチェーン全体でのセキュリティ施策・プロセスの効率化・高度化に寄与します。
脆弱性管理の実効力を高めるSBOM
11 results
Loading...
欧州サイバーレジリエンス法~製造業が今すぐに取るべき対策~
欧州サイバーレジリエンス法(CRA)は、デジタル要素を含む製品のサイバーセキュリティを強化するための規則です。対象製品は規則に準拠していることを示すCEマークが必要となります。本稿では、製造業者が対応すべきCRAの法令要件の範囲やCEマーク利用のための適合性評価の流れを解説します。
サイバーセキュリティリスクが高まる今こそ見直したいCSIRT成熟度―SIM3活用による企業レジリエンスの向上―
サイバーセキュリティリスクが増している現状において、企業のセキュリティ対応の要となる組織の1つがCSIRTです。日本のCSIRTによく見られる課題や、CSIRTの成熟度評価、それを行うメリットを解説します。
日本企業の欧州サイバーレジリエンス法対応実態調査~SBOM活用状況と活用に向けた課題
PwCコンサルティング合同会社は2023年10月、日本国内の製品メーカーで働く580人を対象に、セキュリティ対策状況に関する調査を実施しました。本稿では調査結果を基に、日本の製品メーカーの製品セキュリティに対する意識・対応状況について解説します。
Loading...
インサイト/ニュース
20 results
Loading...
EU DORAにおける脅威ベースのペネトレーションテスト(TLPT)義務化の動向
2025年6月18日、欧州委員会はデジタルオペレーションレジリエンス法(DORA)に基づくTLPTに関する規制技術基準(RTS)を公表しました 。国内の金融機関や関連組織に対して、先進的なTLPTに関する法規制の内容を解説し、今後の推奨事項を提示します。
特定卸供給制度におけるサイバーセキュリティ対策届出の対応
特定卸供給事業のライセンス申請においては、セキュリティ対策の実施状況に関する報告が必要となります。報告にて遵守状況の提出が求められるセキュリティ要件の概要や制度対応のポイントを解説します。
米国SECサイバーセキュリティ開示規則適用後の5つの傾向
米国証券取引委員会(SEC)は、新たなサイバーセキュリティの適時開示や年次報告に関する開示規則を、2023年12月18日より適用しました。新規則施行から1年半が経過したタイミングで、米国におけるサイバーセキュリティ情報開示の傾向をまとめ、日本企業への推奨事項を示します。
「営業秘密」の保護と利活用 第3回:無形資産の戦略的保護―営業秘密管理体制の要諦―
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第3回となる本稿では、「営業秘密保護の組織体制」に焦点を当て、どのように最適な管理体制を構築すべきかについて解説します。
Loading...
