自動車業界におけるOSS管理とSBOM導入 -日本、EU、米国の事例‐

自動車業界は現在、従来のハードウェア中心の開発からソフトウェア中心の開発へと大きく変化しています。自動運転、V2X通信、OTAアップデートの発展に伴い、車両は高度な電子制御ユニット（ECU）を搭載し、まるで「動くスマートフォン」のような存在へと進化しています。現代の自動車には約100個以上のECUが搭載される場合もあり、1台の自動車に使われるソースコード量は数千万行に達するなど、その複雑さは飛躍的に増大しています。

しかし、車両のソフトウェアをゼロから開発するには、多くの費用と時間が必要になるため、企業にとって解決すべき課題となっています。このような状況で、オープンソースソフトウェア（OSS）の導入が急速に進んでいます。企業はOSSを活用することで、ソフトウェア開発にかかる費用と時間を大幅に削減できるだけでなく、安定したソフトウェアの開発環境を構築することができます。しかし、OSSも万能ではないため、適切な管理体制を構築していない状態でOSSを導入すれば、深刻なセキュリティ脆弱性、ライセンス違反、さらには予期せぬ法的リスクが生じる可能性があります。

そこで、本記事では、自動車業界におけるOSSの活用が進む一方で、その管理不足がもたらすリスクについて詳しく解説し、そのリスクに対応するための国際的な動向について解説します。そして、その具体的な対策として知られているSBOM（Software Bill of Materials）の説明および国内の事例について詳しく解説します。

オープンソースソフトウェア（Open Source Software：OSS）とは？

オープンソースソフトウェア（OSS）とは、誰でも自由に利用、変更、配布可能なソフトウェアを意味します。OSSはソースコードが一般に公開されており、世界中の開発者が自由に参加して共同で開発や改善できるものです。このように、誰でも参加できる開発環境はソフトウェアの透明性を高めるとともに、より多くの専門知識を集約することを可能にします。このような特性はビジネス上にメリットになるため、多くの企業がOSSと導入・活用しています。特に、以下のような具体的な利点が挙げられます。

1．効率的な開発

OSSを利用することで、既存のコードを再利用して迅速な開発を実現できます。新たなソフトウェアをゼロから構築する手間を省き、市場への投入速度を大幅に短縮できます。

2．柔軟性

特定のベンダーに依存せず、必要に応じて自由にカスタマイズや修正が可能です。これにより、自社の要件に最適化されたソフトウェアを開発することができます。

3．革新性と技術の普及・促進

OSSは幅広い開発者が自由にアクセスし改善・配布できるため、最先端技術の導入が促進され、業界全体の技術革新が進みます。

このように、企業はOSSを活用することで、ソフトウェア開発にかかる時間や費用を効率的に抑えることができます。しかし、OSSは万能ではありません。OSSは誰でも参加できるということは悪意のある攻撃者もアクセスできることを意味します。では、OSSを利用する際に注意すべきリスクについて説明します。

OSS使用に伴う具体的なリスク

1．ライセンス違反リスク

OSSにはGPL、MIT、MPLなど様々なライセンスが存在し、各ライセンスの条件を正確に理解していない場合、意図しないライセンス違反が発生し、法的リスクにつながる可能性があります。

2．セキュリティリスク

悪意のある攻撃者もOSSのコードを確認できるため、脆弱性を発見・悪用できる状況にあります。十分なセキュリティ対策や迅速な対応が行われないと、サイバーセキュリティ事故や情報漏洩につながる恐れがあります。自動車産業の場合、人命にかかわる大事故につながる可能性が高いため、より慎重な対応が必要です。

3．管理の複雑化

複数のOSSを利用すると、各OSSのバージョン管理や依存関係の管理が複雑化します。これにより、アップデートやパッチの管理など、実際の運用・管理が困難になることが多いです。

4．責任所在の不明確性

OSSにトラブルが発生したら、明確な責任者がいないため、問題への対応や解決が困難になる場合があります。

最近では、OSSの利活用に伴うセキュリティやライセンスリスクを管理する手段として、SBOMが導入されつつあります。SBOMとは、簡単に説明すると、ソフトウェアの構成をリスト化したものであり、ソフトウェアに含まれている全てのコンポーネント情報が見られるものです。世界では、このSBOMを利用してセキュリティやライセンスリスクに対応しようとする動きがあります。

世界的なSBOM導入推進の動き –米国とEU

ソフトウェア・サプライチェーンのセキュリティ対策として、SBOM（Software Bill of Materials）の導入が世界的に加速している中、米国と欧州では、政府主導でSBOMの標準化と義務化が進んでおり、企業がこれに適応することが求められています。

米国

2021年5月に発表された大統領令14028をきっかけに、米国ではソフトウェア・サプライチェーンの透明性を確保するための取り組みが本格化しています。特に、政府が調達するソフトウェアに関しては、SBOM（Software Bill of Materials）の提供が必須とされています。これに伴い、NTIA（米国国家電気通信情報管理局）によるSBOMの標準化も進んでいます。NTIAは、ソフトウェアの構成要素を明確に管理するためのガイドラインを策定し、SPDX、CycloneDX、SWIDといった標準フォーマットの活用を推奨しています。さらに、CISA（米国サイバーセキュリティ・インフラセキュリティ庁）もSBOMの普及を積極的に推進しており、特に重要インフラでの活用を奨励しています。米国では企業がSBOMを適切に管理できるように、枠組みやベストプラクティスを提供されており、これによってセキュリティリスクをより包括的に低減できるような環境を構築しています。

EU

欧州でもSBOMの導入が積極的に進められています。その背景には、企業のセキュリティ対策を強化するための法規制が強化されていることが挙げられます。2022年12月に発効したNIS2指令（Network and Information Security Directiveの改正、NIS2指令）は、重要インフラや大手企業に対し、より厳格なサイバーセキュリティ対策を求めるものです。この指令では、ソフトウェアの透明性を確保し、サプライチェーンリスクを低減するための手段としてSBOMの活用が推奨されています。特に、エネルギー、運輸、金融、通信、医療などの分野では、ソフトウェアの安全性を確保するためにSBOMの導入が求められるケースが増えてきています。

また、2019年に施行されたEUサイバーセキュリティ法（EU Cybersecurity Act）では、欧州サイバーセキュリティ機関であるENISA（European Union Agency for Cybersecurity）の役割が強化され、サイバーセキュリティ認証制度が導入されました。この法律により、ソフトウェアのセキュリティ基準が厳格化され、企業はSBOMを通じて自社のソフトウェア構成を明確にし、適切な管理体制を整えることが求められるようになりました。

このように、欧州ではSBOMの導入が単なる技術的な選択肢ではなく、法規制の要請として義務付けられていると言えるでしょう。企業が国際的な市場で競争力を維持し、サプライチェーンリスクを低減するためには、SBOMを適切に管理し、最新のセキュリティ対策に対応していくことが不可欠です。今後、SBOMはソフトウェアの透明性を確保し、セキュリティを強化するための業界標準として定着していくことが予想されます。

日本におけるOSS導入の動きとSBOM活用事例　–経済産業省の資料をもとに–

日本政府は経済安全保障の観点から、国内企業に対しSBOM導入を推奨する施策を検討、情報処理推進機構（IPA）はOSSの管理とセキュリティ強化を推奨しています。 また、自動車業界では日本自動車ソフトウェアプラットフォーム・アーキテクチャ（JASPAR）が標準化活動を進めており、SBOM（Software Bill of Materials）の導入を積極的に推奨しています。JASPARでは、自動車業界全体でソフトウェア部品の透明性を高め、OSS管理の効率化を進めています。では、具体的な事例をもとに、日本企業がどのようにOSS、SBOMを活用しているのかを紹介します。

事例1：SBOMを活用したサプライチェーン全体のOSS管理強化

製造業では、ソフトウェアの透明性を高めるために、SBOMを活用したOSS管理の取り組みが進められています。従来、ソフトウェアコンポーネントの管理方法は企業ごとに異なり、ライセンスの適用状況や脆弱性の把握が難しいという課題がありました。課題解決のために、サプライチェーン全体でOSSの利用状況を管理し、リスクを低減する動きが広がっています。特に、SPDX Liteなどの標準フォーマットを活用してOSSの構成情報を可視化する取り組みが進められており、これによりコンプライアンスやセキュリティ管理の向上が期待されています。このような管理体制が整備されることで、企業間での情報共有がスムーズになり、サプライチェーン全体のセキュリティレベルを引き上げる効果が期待されています。

事例2：OSS選定基準の策定と社内ガイドラインの整備

OSSの利用拡大に伴い、OSSの選定基準を策定し、社内ガイドラインを整備する動きが広がっています。従来、開発部門ごとに異なるOSSが導入されることで、管理の一貫性が失われるリスクが指摘されていました。そのため、OSSの選定プロセスを標準化し、適切に管理する取り組みが進められています。具体的には、ライセンスリスクやメンテナンス性、長期的な安定性を考慮して評価する枠組みを構築し、開発者が適切なOSSを選定できるような仕組みを導入する企業が増えています。さらに、OSSの適切な管理を目的とした社内トレーニングや勉強会を定期的に実施する企業も多く、こうした取り組みを通じてOSSの利用におけるリスク管理の強化が広がっています。

事例3：OSS脆弱性管理の自動化による迅速なリスク対応

金融業やITサービス業を中心に、OSSの脆弱性情報をリアルタイムで収集し、ソフトウェア構成情報と組み合わせてリスク管理を強化する動きが広がっています。OSSの利用が拡大する中、脆弱性の特定やパッチ適用の遅れがセキュリティリスクを引き起こす可能性が指摘されており、そのリスクを最小限に抑えるための対策が進められています。具体的には、定期的なOSSスキャンを実施し、脆弱性が検出された際に即座に社内の対応チームへ通知が送られる仕組みを導入する企業が増えています。このプロセスを自動化することで、従来は数週間かかっていた脆弱性対応が数日以内に完了するケースも報告されています。

こちらの事例は経済産業省の「OSSの利活⽤及びそのセキュリティ確保に向けた 管理⼿法に関する事例集」からも確認できます。導入企業、事例に関してより詳しい内容を確認したい方はご覧ください。

SBOMによるOSSリスク管理の推進

OSSを管理する適切な体制を構築してない状態で自動車ソフトウェアを開発すると、ライセンス違反やセキュリティ脆弱性といった深刻なリスクを招く可能性があります。特に、複雑化するソフトウェア構成を正確に把握し、安全性を確保するためには、SBOMの導入が不可欠になるでしょう。米国やEUではSBOMの標準化が進んでおり、日本でもサプライチェーン全体での活用が求められています。企業はSBOMを活用することで、OSSの透明性を高め、リスクを早期に検出・対応できる体制を構築することが可能になります。今後、自動車業界においてOSSとSBOMの適切な管理がソフトウェアの品質と安全性を左右する重要な要素となると考えられます。

アウトクリプトは車載OSSの脆弱性診断・SBOM管理ツールを開発・提供しています。AutoCrypt Security Analyzerは脆弱性スキャン、分析機能を組み込み、車載ソフトウェアにおけるOSSライセンスや脆弱性の管理を支援し、安全な車載ソフトウェア開発をサポートする自動化されたSBOM管理ツールです。より詳しい情報を確認したい方はこちらをご覧ください。