近年、自動車のソフトウェア化が進み、自動車の持つ機能や価値をソフトウェアが決めることになってきています。パワートレイン制御やブレーキ操作のような車両制御からナビゲーションシステムやオーディオ機能といったインフォテインメント制御まで、いずれも高度なソフトウェアが必要です。いわゆるソフトウェア定義型自動車(Software-Defined Vehicle)に対するニーズの高まりにつれて、ソフトウェアに採用されるOSSコンポーネントの数も増加しています。
AutoCrypt Security Analyzerは、ソフトウェア開発ライフサイクル(Software Development Life Cycle、SDLC)に脆弱性スキャン及び分析機能を組み込み、車載におけるOSSのライセンスや脆弱性の管理をサポートします。
OSSのセキュリティリスク
OSSの重要性は益々高まっています。昨今では、ソフトウェアとOSSを組み合わせてシステムを開発することが主流となっています。オープンソースのソースコードを改変したり、複数のOSSを組み合わせ連携させるなど様々なカスタマイズも頻繁に行われます。最新の調査によると、ソフトウェア・コードベースの99%で1つ以上のOSSコンポーネントが使われ、ソフトウェア・コードベース全体における比率として、70%がオープンソースで構築されています。
誰でも自由に使えるメリットがあるものの、OSSによって多くのシステムが危険にさらされているのも事実です。ソフトウェア・コードベースの80%以上が少なくとも1つの脆弱性を含んでいるという分析結果も出ています。万が一OSSに脆弱性が発見された場合は、開発者自らパッチを適用したり、バージョンアップを行わなければなりません。しかし、ソースコードの一部改変した場合は、発見された脆弱性が自分が使ったソースコードに含まれているのかを判断することが極めて難しいです。他のソフトウェアとソースコードが依存関係にあり、バージョンアップなどが難しい場合もあります。
OSSの脆弱性の対処としてまず、ソフトウェア開発に使用したOSSコンポーネントとライセンスを明確に把握することが求められます。バイデン大統領は、連邦政府機関におけるサイバーセキュリティ改善に係る大統領令に署名しました。推奨事項の中には、連邦政府が使用するソフトウェア・アプリケーションの安全性と整合性を確保するためのSBOM(ソフトウェア部品表)が要件に挙げられています。SBOMには、ソフトウェア構築で使用される全てのオープンソース・コンポーネントやライセンス、バージョンなどが一覧に表示される必要があります。SBOMは日本においても普及が推進されており、今後ますます重要性が高まると予想されます。
AutoCrypt Security Anaylzer
AutoCrypt Security Analyzerは、車載ソフトウェアに含まれるオープンソースの脆弱性検出、ライセンス違反などのセキュリティリスクを管理する「車載OSS脆弱性診断・自動分析ソリューション」です。
1.ソースコードの機密性確保
ソフトウェアのソースコードをSecurity Analyzerでスキャンし、そのソースコードをハッシュ値に変換し暗号化されたファイルとして保存します。(すべてのプログラミング言語に対応します)2.データ蓄積
NVD、MITRE、Github、Bugzillaから提供される脆弱性リスト、マシンラーニング基盤パッチ、ソースコードスキャンから検出したオープンソースコンポーネント、ユーザ定義の脆弱性を収集し、Security Analyzerビッグデータ(VDB)を構成します。3.AI分析アルゴリズムによる高精度検出
特許技術(VUDDY、CENTRIS)を活用し、ファイル及びコードスニペット単位での脆弱性分析を行います。また、パッケージ管理システムによる依存関係の分析結果を再び学習し、検知精度向上及び未知の脆弱性検知を実現します。4.SBOM管理
Security Analyzerは対象ソフトウェアに対するSBOMを作成・提供します。SBOMには対象ソフトウェアに使用された全てのオープンソースコンポーネントとライセンスリストが表示されます。Security AnaylzerはSPDX/CycloneDX標準SBOMフォーマットのサポートします。5.脆弱性管理分析
プロセスの後、Security Analyzerは、ユーザがコーディングの欠陥を手動で修正できるように検出されたセキュリティリスクに対して推奨されるパッチのリストと、脆弱性に関する詳細なガイドを提供します。マルチファクター分析による詳細なコンポーネント検知
AutoCrypt Security Analyzerは、マルチファクター分析によりコンポーネント、ライブラリ、ファイル、およびコードスニペット単位まで、コード内にあるあらゆるOSS脆弱性を検出します。
特許済み技術を利用したコードスニペット単位での分析で、ソフトウェア内のすべてのOSSコンポーネントとライセンスを識別し、OSS脆弱性に対する高い検出精度を実現しています。
高精度なOSS脆弱性検知
マルチファクター脆弱性分析により、誤検知をほぼゼロまで抑えながら、精度の高い検知を実現します。
正確なパッチ適用
影響を受けるOSSコンポーネントを正確に把握し、バックポーティングに必要なパッチ情報を提供します。
ユーザ定義の脆弱性管理
コンポーネント単位を含む関数単位におけるユーザ定義の脆弱コードを作成・検知機能を提供します。
Zero-Day脆弱性検知
AIを活用した的確な分析により、Zero-Day脆弱性など未知の脅威をすべて検出できます。
AutoCrypt Security Anaylzer無料トライアル
1カ月利用できる無料トライアルでは、企業様が実際に使用しているソースコードを7回まで分析できます。お申込み後、登録されたメールにアカウント情報をお送り致します。
*無料トライアルでは、ソースコード分析や結果確認などの基本機能を体験できます。より詳しい情報が必要である方は別途お問い合わせください。
