【お知らせ】

Adobe Acrobat Readerの特定のバージョンに、一部のPDFが開けないバグが発生しております。PDFが開けない場合、お使いのAcrobat Readerを最新版へアップデートの上お試しください。

画像:車両レベルでのセキュリティリスク分析に基づく脆弱性分析

2024年9月9日

製品・サービス / プレスリリース

ソフトウエア脆弱性への対応にかかる時間とコストを削減

脆弱性分析ソリューション「VERZEUSE® for SIRT」を開発

パナソニック オートモーティブシステムズ株式会社(代表取締役社長:永易 正吏、本社:神奈川県横浜市)は、パナソニック ホールディングス株式会社と共同で、出荷後の車両ソフトウエアのセキュリティ脆弱性により生じるリスクを分析する「VERZEUSE® for SIRT(Security Incident Response Team)」を開発しました。

「VERZEUSE® for SIRT」は、車両に搭載されているソフトウエアを対象に、出荷後に発見された脆弱性のセキュリティリスクを分析し、対応優先度を判定するソリューションです。日々増加する膨大な脆弱性情報から、リスクの高い脆弱性を自動で絞り込み、リスク分析や脆弱性対応の時間を大幅に削減することを目指しています。

当ソリューションは2024年9月16日~20日に開催される第30回「ITS世界会議2024ドバイ」(※1)に出展します。

<開発背景>

自動運転技術の進化、デジタル化の拡大、そしてインターネットに接続された「コネクテッドカー」の普及が進むにつれて、自動車に対するサイバー攻撃のリスクが増しています。

特に近年では、サイバー攻撃がより巧妙になるにつれて、車両ソフトウエアの脆弱性報告件数は「オープンソース・ソフトウエア(OSS)」を中心に増加傾向にあります。さらに、車両がソフトウエアで強化される「ソフトウエア・ディファインド・ビークル(SDV)」が進化するにつれて、車載ソフトウエアの規模と数も増え続けています。

このような環境下において、自動車業界では、サイバー攻撃から車両を防御・監視するための仕組みづくりが急務となっています。設計、開発フェーズだけでなく車両の出荷後についても、搭載されている大量のソフトウエアに新たな脆弱性が発見されていないかを継続的に監視し、発見された脆弱性のセキュリティリスクに応じた対応をとる必要があります。

一方で、膨大な脆弱性情報をセキュリティリスクの大小を考慮せず網羅的に分析し対策を講じると、作業時間が膨れ上がるというコスト面の課題が生じます。
まず、日々数多く発生する脆弱性にはセキュリティリスクの高いものと低いものが混在しています。次に車両は多数のECUで構成されており、個々のECUにそれぞれのソフトウエアが搭載されます。同じソフトウエアの同じ脆弱性でも、搭載されるECUにより車両に与えるセキュリティリスクが異なるため、「ソフトウエア × 脆弱性 × 搭載ECU」の掛け算で分析を行う必要があります。さらに、SDVの進化に伴い、複数のECUを連動させる機能も増加傾向にあり、一つの脆弱性が車両全体に与えるセキュリティリスクを正確に把握することは、今後さらに難しくなると予想されます。

膨大な脆弱性情報から各ECU単体のレベルではなく、車両にとってセキュリティリスクの高い脆弱性を適切に抽出して対応することは、自動車のセキュリティ対策を高いレベルで維持するために不可欠です。

<VERZEUSE® for SIRTの特長>

1. 車両レベルでのセキュリティリスク分析に基づく脆弱性分析

画像:車両レベルでのセキュリティリスク分析に基づく脆弱性分析

「VERZEUSE® for SIRT」は、設計時の車両のセキュリティ脅威分析の結果や各ECUに搭載されたソフトウエアのリストであるSBOM(Software Bill of Materials)、各ECU間の接続情報を用いて、当社独自の分析アルゴリズムにより、想定されるサイバーセキュリティ攻撃の経路と影響を算出。ECU単体ではなく、車両全体でセキュリティリスクを分析します。

2. パナソニックグループが各分野から収集した脅威情報を活用

パナソニック ホールディングス株式会社との協業により、パナソニックグループが工場や、家電、IoT機器など各分野から収集した脅威情報を蓄積した「サイバーセキュリティインテリジェンス」と連携することにより、セキュリティリスク判定の精度を向上させます。

3. ISO/SAE 21434に準拠した脆弱性分析をサポート

「VERZEUSE® for SIRT」における脆弱性分析は、ISO/SAE 21434のプロセスに則って実施され、結果を保存します。結果は、監査を受ける際に提出する証跡として使用できます。

※1 2024年9月9日プレスリリース「第30回ITS世界会議2024ドバイ」に出展
https://news.panasonic.com/jp/press/jn240909-1

<「VERZEUSE®」について>

パナソニック オートモーティブシステムズ株式会社は、サイバーセキュリティ技術・サービス「VERZEUSE®」(※2)をグローバルに展開しています。当社は、テレビ、レコーダー、携帯電話、スマートフォン、決済端末、半導体などパナソニックグループのさまざまな商品においてセキュリティ技術の開発に携わってきた技術者が結集し、2014年よりそれぞれの強みを活かしたサイバーセキュリティ技術の開発やオートモーティブ商品への搭載を進めてきました。豊富な知識や経験に裏打ちされた技術を社会でさらに役立てていくために、自動運転機能やネットワークサービスの安心安全の確保に貢献します。
VERZEUSE®紹介サイト https://automotive.panasonic.com/technology/cyber-security

※2 VERZEUSE®は、スペイン語で「見る」を意味する「Ver」と、「神」を意味する「Zeus」を組み合わせた造語です。空または上空から神のごとく、社会の安全を見守るという意味を込めています。

<パナソニック オートモーティブシステムズ株式会社について>

パナソニック オートモーティブシステムズ株式会社は、2022年4月1日、パナソニックグループの事業会社制スタートに伴い、車載事業を担う事業会社としてスタートしました。当社は、世界22の国と地域、従業員数約3万人、売上高約1兆4,919億円(2023年度実績)の事業を展開するグローバル企業です。Tier1として、国内外の自動車メーカーに、インフォテインメントシステムをはじめとするパナソニックならではの先進技術を提供し、快適で安全・安心な車作りに貢献しています。企業ビジョン“世界一の「移ごこちデザイン」カンパニー”を掲げ、人に寄り添う技術で世界のお客様のご期待にお応えします。

▼パナソニック オートモーティブシステムズ株式会社 ウェブサイト
https://automotive.panasonic.com/

記事の内容は発表時のものです。
商品の販売終了や、組織の変更等により、最新の情報と異なる場合がありますのでご了承ください。

配信元:
パナソニック オートモーティブシステムズ株式会社

画像ダウンロード

車両レベルでのセキュリティリスク分析に基づく脆弱性分析

注目ニュース