豊富な機能安全対応と組込みセキュリティの開発実績に裏打ちされた
Safety & Security ソリューション
Safety(機能安全/SOTIF)や Security(サイバーセキュリティ)
ソフトウェア管理(CI/CD)の義務化など
国際基準に沿った製品開発を支援します。
組込み製品開発における機能安全対応やサイバーセキュリティ対策で、お困りごとはありませんか?
日立産業制御ソリューションズの「Safety & Securityソリューション」は、お客様の
組込み製品開発における機能安全やセキュリティに関する課題の解決を支援いたします。
を更新
を実現するサービスとして、、DevSecOps運用サポート、SBOM支援、脆弱性監視、脅威情報共有支援の各サービスを更新しました。近年、Society 5.0の実現や、DXの加速に向け、各種機器からのデータを利用し、利便性を向上することが進んでいます。
各種機器からのデータ利用においては、ネットワーク接続が必要となります。各種機器がネットワーク接続されることで、例えば、自動運転車両に対して、
遠隔からのネットワーク攻撃によって、安全機能に対して攻撃され事故になる事例が報告されるなど、安全機能に対し、サイバーセキュリティ脅威を考える必要が出てきています。
自動車関連では、WP.29(UN-R155/R156)の国際基準が成立するなど、サイバーセキュリティ規格や法の整備が加速しており、欧米や日本など世界各国でSafetyとSecurityを両立した対応が求められて来ています。
日立産業制御ソリューションズは、自動車分野でのさまざまな機能安全開発経験を活かし、国際規格から機能安全や組込みセキュリティ対応開発を、導入から製品開発、評価までトータルでサポートいたします。
※略語:略語一覧参照
機能安全やセキュリティ対応は、開発前の計画や管理体制の構築が重要です。日立産業制御ソリューションズは、導入教育や、安全設計、セキュリティ設計などのコンサルティングから、 製品開発、安全性評価・セキュリティ評価まで、トータルでサポートいたします。サービス単体での対応も可能です。
機能安全規格(IEC 61508, ISO 26262など)やSOTIF(ISO 21448)の対応に加え、サイバーセキュリティ規格(IEC 62443, ISO/SAE 21434など)やWP.29などを統合し、SafetyとSecurityを両立したソリューションを提供します。
製品リリース後も脆弱性を監視する必要があります。製品開発時に利用するソフトウェアをSBOMで登録し、脆弱性の監視を実施します。 日立産業制御ソリューションズでは、PSIRTの構築から運用までお客様をサポートします。
※略語:略語一覧参照
| No | サービス | 概要 | |
|---|---|---|---|
| 1 | 既存のQMS(品質マネジメントシステム)に対して、SafetyとSecurityを両立した開発プロセスを構築するためのコンサルティングサポ-トを行い、SafetyとSecurityが両立できる開発プロセス支援を行います。 | ||
| 2 | MBSEの手法を使い、SafetyとSecurityが互いに干渉する部分に対して、一貫した上流設計の開発ができるように支援します。 | ||
| 3 | コンセプトフェーズから運用フェーズまで、製品のセキュリティを守る活動を支援します。 | ||
| 3.1 | OSSを利用する際に脆弱性診断を行い脆弱性に関するレポ-トを支援します。脆弱性診断時に各国際規格の対応をする際のレポ-トを支援します。 | ||
| 3.2 | 脆弱性診断サ-ビスとCI/CDサ-ビスを組み合わせて、OSSに対するDevSecOpsを実現し、構築、運用を支援します。 | ||
| 3.3 | SBOMを活用することで、自社製品の管理や脆弱性監視の労力を削減することができます。 | ||
| 3.4 | OSSを利用する場合、脆弱性を監視し、対策を実施することが必要になります。脆弱性監視サービスでは、脆弱性を監視し、対策の要否を判断するトリアージ作業の効率化を支援します。 | ||
| 3.5 | 脅威情報は業種ごとのISACやインシデント共有コミュニティによって配信されています。脅威情報共有支援サービスでは、外部コミュニティより脅威情報を取得し、自社製品への影響を分析する業務を支援します。 | ||
※略語:略語一覧参照
既存のQMSに機能安全対応やサイバーセキュリティ対応の要件を加えることで、国際基準に適合した開発プロセスの構築が可能となります。
SafetyとSecurityの両立の開発プロセス構築では、SafetyとSecurityの相違点の考慮が必要になります。(以下、相違点の例)
相違点の例
●用語、要求分析、開発プロセス、コーディング規約、評価など
●安全リスク分析とセキュリティリスク分析は視点が違う
●長年使い込んだソフトウェアは、Safety視点では安全と見なされる、Security視点では脆弱性の可能性を考える必要がある
SafetyとSecurityの両立にあたっては、MBSEを使ったSystem Modelを利用することを日立産業制御ソリューションズでは推奨しています。System Model設計は、 設計状態の可視化、SafetyとSecurityの設計観点の相違から生じる設計漏れや設計手戻りがあった場合でも、設計状一貫性を保つことが可能となります。
セキュリティ分析結果に対する対策にCWEのような評価基準を設けることで、
対策の抜けもれを防止し、確実な対策を講じることができます。
ISO 21434の規格に沿った手順で分析を行い、リスクに対応した対策を抽出します。対策は、自動車サイバーセキュリティー法規「UN-R 155」に規定されている緩和策や、CWEを活用します。
※略語:略語一覧参照
インターネットに接続できる製品は、常にセキュリティの脅威にさらされています。一方、インターネットに接続することで、継続的なアップデートによって製品のサービスを向上することもできます。PSIRT(ピーサート: Product Security Incident Response Team)は、製品のサービスと安全性の向上をめざす組織です。
日立産業制御ソリューションズは、自動車分野の豊富な開発経験にもとづき開発プロセスの改善・効率化を通して、PSIRT活動を支援します。
| 脆弱性の検知 | 脆弱性の対応 |
|---|---|
|
|
|
|
日立産業制御ソリューションズが提供する「OSS活用 CI/CDソリューション」と脆弱性診断サ-ビスを組み合わせることで、DevSecOpsの構築・運用サポ-トを支援します。 OSSには脆弱性が存在します。サイバーセキュリティ対策においては、ソフトウェアの脆弱性を監視し、継続的なインテグレーションとデリバリーを行うことで、早急な対応が可能となります。
DevSecOps
ALM(Application Lifecyle Management)
モデリングを通して開発プロセスの見える化を行い、プロセス改善、自動化可能なプロセスを分析する
継続的なCI/CDシステムが運用できるように、プロセスの変化に合わせてメンテナンス可能なCI/CDシステムの設計を行う
さまざまなツールを組み合わせることでCI/CD環境構築を実施する
会社間の連携を想定して円滑なコミュニケーションを図りながら運用する
プロジェクトを計測し、状態を見える化を行うことでさらなる改善へ繋げる
CI/CD Lifecycle
サイバーセキュリティ対応にあたっては、ALM(アプリケーションライフサイクルの管理)が必要になります。通常のSDLC(ソフトウェア開発ライフサイクル)では、要求分析~テストまでの開発フェーズに限定したものであるのに対して、ALMは、対象となるソフトウェアが廃棄されるまでを管理することになります。ALMを対応するにあたっては、コンセプト~リリースまでのさまざまなスキルセットが必要となっており、日立産業制御ソリューションズでの実績を活用した運用サービスを活用することで、運用を円滑に行うことができます。
現在、ソフトウェア開発においてSBOM(Software Bill Of Materials:ソフトウェア部品表)の活用に向けての議論が活発になってきています。SBOMを活用することでさまざまなメリットがありますが、一方で課題もあります。日立産業制御ソリューションズでは、DevSecOpsソリューションとしてSBOMの活用に取り組んでおり、PoCとしてSBOMから脆弱性の可視化などにも取り組んでいます。SBOMがなぜ着目されているか、SBOMの活用と課題、日立産業制御ソリューションズが取り組んだ内容についてご紹介します。
SBOM(Software Bill Of Materials:ソフトウェア部品表)とは:
アプリケーションに含まれるコンポーネントの出所、互いの依存関係所やライセンスなどの情報を詳細に記録した一覧表。SBOMを作成、管理しておくことで、ソフトウェアが抱えている問題やリスクを事前に把握し、どう対処するか判断材料として参照、活用できます。
● ソフトウェアの複雑化、高度化とともにサプライチェーンの複雑化とソフトコードに占めるOSSの割合が増加
● さまざまな機器がつながることでサイバーセキュリティリスクの増加
● OSS利用にともなうライセンス違反も出てきており、ソフトウェア構成の透明性が必要になっている
SBOMを活用することでソフトウェアの構成を可視化
SBOMを活用することで期待される効果
1
脆弱性管理
開発、運用フェーズ
2
ライセンス管理
調達、契約フェーズ
3
開発生産性
開発、運用フェーズ
運用後のOSSの脆弱性診断を効率的に行うためには、開発上流工程で適切なOSSを選定し開発計画を立案することが重要です。SBOM生成と組み合わせることで効率的なOSSの脆弱性診断を行うことができます。
下記のソリューションメニューをご用意しています。お気軽にご相談ください。
お客様のSBOM導入の目的、要求などに合わせた支援をおこないます。
組織にSBOMを定着するためには繰り返し運用し改善を進めていくことが必要です。日立産業制御ソリューションズの強みであるCI/CDの技術を組み合わせることで、SBOM生成の自動化など継続的にSBOMの運用ができるように仕組みづくりを支援します。
SBOMを導入、運用することによって、OSSのライセンス確認や脆弱性の把握など製品ライフサイクル全般にわたりさまざまな場面でSBOMを活用できると考えています。
脆弱性監視ツールは、多くの無償・有償のツール、サービスが存在します。ツール、サービスの選定にあたっては、脆弱性監視の目的を定め、必要な機能を持つツール、サービスを選定していくことが重要です。
[お客様の課題]
製品で利用しているOSSについて人手をかけずに抽出し、OSSが持っている脆弱性を把握したい。
利用している各OSSの脆弱性管理を手作業で実施していたため、負担が大きい。
[解決策]
脆弱性の監視は、SBOMを活用することで、ソフトウェアが利用しているOSSを把握し、そのOSSが持っている脆弱性の情報を脆弱性管理DBから取得し、脆弱性の可視化を行うものです。CIとSBOMを組み合わせることで、人手をかけず自動的にSBOM生成、OSS情報から脆弱性情報の収集、可視化を実現しました。
具体的なシステム構成としては、OSSのSBOM生成ツール「Syft」と開発プロジェクトが利用するソフトウェアコンポーネント情報を保存し管理する「Dependency-Track」を組み合わせ、SBOM生成から脆弱性情報の収集、管理、レポートに対応する「脆弱性管理システム」を構築、運用しました。
| 脆弱性管理システム (Syft+Dependency-Track) |
特長 | |
|---|---|---|
| SBOM対応 | 〇 | CycloneDX形式に対応 |
| 脆弱性収集 | 〇 | NVD,VulnDBなどから取得 |
| エコシステム | 〇 | APIサポートのほかにJenkins、Jira、Microsoft Teamsなど連携可能 |
| レポート | 〇 | VEX(Vulnerability EXplorer)、VDR(Vulnerability Disclosure Report)をサポート |
日立産業制御ソリューションズは『EXIN DevOps Master/Professional』を取得しました
EXIN DevOps Master/Professionalは、DevOps環境下の開発/運用系の技術者または管理者の方に向けたEXIN社認定試験です。
日立産業制御ソリューションズでは、EXIN DevOps Master 1名、EXIN DevOps Professional 5名が取得し(2025年3月現在)、お客様にDevOps導入の全般的なテクニカルサポートを行っています。
今後も資格取得者を増やし、多くのお客様へエキスパートによるテクニカルサポートを提供していきます。
自動車分野で培った、機能安全対応ノウハウを、さまざまな製品開発にお役立ていたします
複雑化するシステム・製品開発を成功に導くSE/MBSE適用を実践&現場定着まで支援
車載・医療・産業・民生品などの組込み機器開発で培ったパワーエレクトロニクスやモーター・インバーター制御開発の経験と技術を生かして、お客様の電動化開発を支援
自動車分野での豊富なモデルベース開発経験・ノウハウ・エンジニアリング力で支援します!
略語一覧
リーフレットダウンロード
• 規格認証を取得したいが、何から始めてよいか分からない。
• 現状の開発プロセスにセキュリティ対応を効率よく取り入れる方法を検討中だ。
• ソフトウェアのライフサイクル全体を通じて、継続的に運用・管理できる環境を構築したい。