組込み製品開発における機能安全対応やサイバーセキュリティ対策で、お困りごとはありませんか?
当社の「Safety & Securityソリューション」は、お客さまの
組込み製品開発における機能安全やセキュリティに関する課題の解決を支援いたします。
近年、Society 5.0の実現や、DXの加速に向け、各種機器からのデータを利用し、利便性を向上することが進んでいます。
各種機器からのデータ利用においては、ネットワーク接続が必要となります。各種機器がネットワーク接続されることで、例えば、自動運転車両に対して、
遠隔からのネットワーク攻撃によって、安全機能に対して攻撃され事故になる事例が報告されるなど、安全機能に対し、サイバーセキュリティ脅威を考える必要が出てきています。
自動車関連では、WP.29(UN-R155/R156)の国際基準が成立するなど、サイバーセキュリティ規格や法の整備が加速しており、欧米や日本など世界各国でSafetyとSecurityを両立した対応が求められて来ています。
日立産業制御ソリューションズは、自動車分野でのさまざまな機能安全開発経験を活かし、国際規格から機能安全や組込みセキュリティ対応開発を、導入から製品開発、評価までトータルでサポートいたします。
※ SOTIF:Safety of the intended functionality
(意図した機能の機能的不備、
または、人による合理的に予見可能な誤使用に起因するハザードによる不合理なリスクがないこと)
※ WP.29:World Forum for the harmonization of vehicle regulations
(自動車基準調和世界フォーラム)
機能安全やセキュリティ対応は、開発前の計画や管理体制の構築が重要です。当社は、導入教育や、安全設計、セキュリティ設計などのコンサルティングから、 製品開発、安全性評価・セキュリティ評価まで、トータルでサポートいたします。サービス単体での対応も可能です。
機能安全規格(IEC 61508, ISO26262など)やSOTIF(ISO21448)の対応に加え、サイバーセキュリティ規格(IEC62443, ISO/SAE 21434など)やWP.29などを統合し、SafetyとSecurityを両立したソリューションを提供します。
ISO/SAE 21434やIEC 62443など自動車や産業分野で求められるソフトウェアのセキュリティ認証規格対応を行うための 認証取得に向けたレポ-トや脆弱性診断を行ったセキュリティ対策レポ-トの作成、セキュリティ対策に向けた脆弱性対策のエンジニアリングサポ-トを提供します。
No | サービス | 概要 |
---|---|---|
3.1 | 既存のQMS(品質マネジメントシステム)に対して、SafetyとSecurityを両立した開発プロセスを構築するためのコンサルティングサポ-トを行い、SafetyとSecurityが両立できる開発プロセス支援を行います。 | |
3.2 | MBSEの手法を使い、SafetyとSecurityが互いに干渉する部分に対して、一貫した上流設計の開発ができるように支援します。 | |
3.3 | OSSを利用する際に脆弱性診断を行い脆弱性に関するレポ-トを支援します。脆弱性診断時に各国際規格の対応をする際のレポ-トを支援します。 | |
3.4 | 脆弱性診断サ-ビスとCI/CDサ-ビスを組み合わせて、OSSに対するDevSecOpsを実現し、構築、運用のサポ-トを支援します。 |
※ MBSE:Model-based Systems Engineering
※ DevSecOps:アプリケーションとインフラストラクチャのセキュリティを、開始時点から考慮すること
※ CI:Continuous Integration (継続的インテグレーション)
※ CD:Continuous Deliver (継続的デリバリー)
既存のQMSに機能安全対応やサイバーセキュリティ対応の要件を加えることで、国際基準に適合した開発プロセスの構築が可能となります。
SafetyとSecurityの両立の開発プロセス構築では、SafetyとSecurityの相違点の考慮が必要になります。(以下、相違点の例)
相違点の例
●用語、要求分析、開発プロセス、コーディング規約、評価など
●安全リスク分析とセキュリティリスク分析は視点が違う
●長年使い込んだソフトウェアは、Safety視点では安全と見なされる、Security視点では脆弱性の可能性を考える必要がある
SafetyとSecurityの両立にあたっては、MBSEを使ったSystem Modelを利用することを当社では推奨しています。System Model設計は、 設計状態の可視化、SafetyとSecurityの設計観点の相違から生じる設計漏れや設計手戻りがあった場合でも、設計状一貫性を保つことが可能となります。
OSSを利用する際に、脆弱性診断を行い、脆弱性に関するレポ-トの作成を支援します。
また、脆弱性診断時に、各国際規格の対応を行う際は、そのレポ-ト作成を支援します。
※「FutureVuls」(https://vuls.biz/)とは、フューチャー株式会社(本社:東京都品川区大崎1-2-2)が 提供するシステムを構成するサーバのOSやアプリケーション、ソフトウェアの脆弱性を自動チェックし、運用管理者の業務を一貫して管理するクラウド型セキュリティサービスをいいます。
当社が提供する「OSS活用 CI/CDソリューション」と脆弱性診断サ-ビスを組み合わせることで、DevSecOpsの構築・運用サポ-トを支援します。 OSSには脆弱性が存在します。サイバーセキュリティ対策においては、ソフトウェアの脆弱性を監視し、継続的なインテグレーションとデリバリーを行うことで、早急な対応が可能となります。
DevSecOps
ALM(Application Lifecyle Management)
モデリングを通して開発プロセスの見える化を行い、プロセス改善、自動化可能なプロセスを分析する
継続的なCI/CDシステムが運用できるように、プロセスの変化に合わせてメンテナンス可能なCI/CDシステムの設計を行う
さまざまなツールを組み合わせることでCI/CD環境構築を実施する
会社間の連携を想定して円滑なコミュニケーションを図りながら運用する
プロジェクトを計測し、状態を見える化を行うことでさらなる改善へ繋げる
CI/CD Lifecycle
サイバーセキュリティ対応にあたっては、ALM(アプリケーションライフサイクルの管理)が必要になります。通常のSDLC(ソフトウェア開発ライフサイクル)では、 要求分析~テストまでの開発フェーズに限定したものであるのに対して、ALMは、対象となるソフトウェアが廃棄されるまでを管理することになります。ALMを対応するにあたっては、 コンセプト~リリースまでのさまざまなスキルセットが必要となっており、当社での実績を活用した運用サービスを活用することで、運用を円滑に行うことができます。
※ CS:Cyber Security
※ SU:Software Update
現在、ソフトウェア開発においてSBOM(Software Bill Of Materials:ソフトウェア部品表)の活用に向けての議論が活発になってきています。SBOMを活用することでさまざまなメリットがありますが、一方で課題もあります。当社では、DevSecOpsソリューションとしてSBOMの活用に取り組んでおり、PoCとしてSBOMから脆弱性の可視化などにも取り組んでいます。SBOMがなぜ着目されているか、SBOMの活用と課題、当社が取り組んだ内容についてご紹介します。
SBOM(Software Bill Of Materials:ソフトウェア部品表)とは:
アプリケーションに含まれるコンポーネントの出所、互いの依存関係所やライセンスなどの情報を詳細に記録した一覧表。SBOMを作成、管理しておくことで、ソフトウェアが抱えている問題やリスクを事前に把握し、どう対処するか判断材料として参照、活用できます。
● ソフトウェアの複雑化、高度化とともにサプライチェーンの複雑化とソフトコードに占めるOSSの割合が増加
● さまざまな機器がつながることでサイバーセキュリティリスクの増加
● OSS利用にともなうライセンス違反も出てきており、ソフトウェア構成の透明性が必要になっている
SBOMを活用することでソフトウェアの構成を可視化
SBOMを活用することで期待される効果
1
脆弱性管理開発、運用フェーズ
2
ライセンス管理調達、契約フェーズ
3
開発生産性開発、運用フェーズ
SBOMの内容を理解でき、適切な判断ができる人材が必要
下記のソリューションメニューをご用意しています。お気軽にご相談ください。
お客さまのSBOM導入の目的、要求などに合わせた支援をおこないます。
組織にSBOMを定着するためには繰り返し運用し改善を進めていくことが必要です。当社の強みであるCI/CDの技術を組み合わせることで、SBOM生成の自動化など継続的にSBOMの運用ができるように仕組みづくりを支援します。
SBOMを導入、運用することによって、OSSのライセンス確認や脆弱性の把握など製品ライフサイクル全般にわたりさまざまな場面でSBOMを活用できると考えています。
OSSのSBOM生成と脆弱性情報の収集、可視化の自動化を実現
[お客さまの課題]
製品で利用しているOSSについて人手をかけずに抽出し、OSSが持っている脆弱性を把握したい。
[解決策]
脆弱性の監視は、SBOMを活用することで、ソフトウェアが利用しているOSSを把握し、そのOSSが持っている脆弱性の情報を脆弱性管理DBから取得し、脆弱性の可視化を行うものです。CIとSBOMを組み合わせることで、人手をかけず自動的にSBOM生成、OSS情報から脆弱性情報の収集、可視化を実現しました。
当社は『EXIN DevOps Master/Professional』を取得しました
EXIN DevOps Master/Professionalは、DevOps環境下の開発/運用系の技術者または管理者の方に向けたEXIN社認定試験です。
当社では、EXIN DevOps Master 1名、EXIN DevOps Professional 5名が取得し(2023年10月現在)、お客さまにDevOps導入の全般的なテクニカルサポートを行っています。
今後も資格取得者を増やし、多くのお客さまへエキスパートによるテクニカルサポートを提供していきます。
自動車分野で培った、機能安全対応ノウハウを、さまざまな製品開発にお役立ていたします
複雑化するシステム・製品開発を成功に導くSE/MBSE適用を実践&現場定着まで支援
車載・医療・産業・民生品などの組込み機器開発で培ったパワーエレクトロニクスやモーター・インバーター制御開発の経験と技術を生かして、お客さまの電動化開発を支援
自動車分野での豊富なモデルベース開発経験・ノウハウ・エンジニアリング力で支援します!
• 規格認証を取得したいが、何から始めてよいか分からない。
• 現状の開発プロセスにセキュリティ対応を効率よく取り入れる方法を検討中だ。
• ソフトウェアのライフサイクル全体を通じて、継続的に運用・管理できる環境を構築したい。