2m

ページの本文へ

Hitachi
English縺雁撫縺�粋繧上○


組込み製品開発における機能安全対応やサイバーセキュリティ対策で、お困りごとはありませんか?

• 規格認証を取得したいが、何から始めてよいか分からない。
• 現状の開発プロセスにセキュリティ対応を効率よく取り入れる方法を検討中だ。
• ソフトウェアのライフサイクル全体を通じて、継続的に運用・管理できる環境を構築したい。


当社の「Safety & Securityソリューション」は、お客さまの
組込み製品開発における機能安全やセキュリティに関する課題の解決を支援いたします。

トピックス

2023年11月29日
SBOM活用、認定資格を追加NEW:最新
4.SBOMの活用として、SBOM活用へ向けた当社の取り組み状況、ソリューションメニュー、事例を公開しました。
5.認定資格(資格情報)として、EXIN DevOps Master/Professionalの取得について公開しました。
2021年6月21日
新規公開
本ページ「Safety & Security ソリューション」を新規公開しました。

1.概要

近年、Society 5.0の実現や、DXの加速に向け、各種機器からのデータを利用し、利便性を向上することが進んでいます。 各種機器からのデータ利用においては、ネットワーク接続が必要となります。各種機器がネットワーク接続されることで、例えば、自動運転車両に対して、 遠隔からのネットワーク攻撃によって、安全機能に対して攻撃され事故になる事例が報告されるなど、安全機能に対し、サイバーセキュリティ脅威を考える必要が出てきています。 自動車関連では、WP.29(UN-R155/R156)の国際基準が成立するなど、サイバーセキュリティ規格や法の整備が加速しており、欧米や日本など世界各国でSafetyとSecurityを両立した対応が求められて来ています。

日立産業制御ソリューションズは、自動車分野でのさまざまな機能安全開発経験を活かし、国際規格から機能安全や組込みセキュリティ対応開発を、導入から製品開発、評価までトータルでサポートいたします。

SOTIF:Safety of the intended functionality
(意図した機能の機能的不備、 または、人による合理的に予見可能な誤使用に起因するハザードによる不合理なリスクがないこと)

WP.29:World Forum for the harmonization of vehicle regulations
(自動車基準調和世界フォーラム)

2.特長

① 導入教育から製品開発までトータルでサポート

機能安全やセキュリティ対応は、開発前の計画や管理体制の構築が重要です。当社は、導入教育や、安全設計、セキュリティ設計などのコンサルティングから、 製品開発、安全性評価・セキュリティ評価まで、トータルでサポートいたします。サービス単体での対応も可能です。

② 機能安全対応ソリューション+セキュリティ設計を両立したサービスを提供

機能安全規格(IEC 61508, ISO26262など)やSOTIF(ISO21448)の対応に加え、サイバーセキュリティ規格(IEC62443, ISO/SAE 21434など)やWP.29などを統合し、SafetyとSecurityを両立したソリューションを提供します。

③ セキュリティベンダと連携した脆弱性対策サポ-ト

ISO/SAE 21434やIEC 62443など自動車や産業分野で求められるソフトウェアのセキュリティ認証規格対応を行うための 認証取得に向けたレポ-トや脆弱性診断を行ったセキュリティ対策レポ-トの作成、セキュリティ対策に向けた脆弱性対策のエンジニアリングサポ-トを提供します。

3.サービス一覧

No サービス 概要
3.1 既存のQMS(品質マネジメントシステム)に対して、SafetyとSecurityを両立した開発プロセスを構築するためのコンサルティングサポ-トを行い、SafetyとSecurityが両立できる開発プロセス支援を行います。
3.2 MBSEの手法を使い、SafetyとSecurityが互いに干渉する部分に対して、一貫した上流設計の開発ができるように支援します。
3.3 OSSを利用する際に脆弱性診断を行い脆弱性に関するレポ-トを支援します。脆弱性診断時に各国際規格の対応をする際のレポ-トを支援します。
3.4 脆弱性診断サ-ビスとCI/CDサ-ビスを組み合わせて、OSSに対するDevSecOpsを実現し、構築、運用のサポ-トを支援します。

MBSE:Model-based Systems Engineering
DevSecOps:アプリケーションとインフラストラクチャのセキュリティを、開始時点から考慮すること
CI:Continuous Integration (継続的インテグレーション)
CD:Continuous Deliver (継続的デリバリー)

3.1 開発プロセス構築支援サービス

既存のQMSに機能安全対応やサイバーセキュリティ対応の要件を加えることで、国際基準に適合した開発プロセスの構築が可能となります。

Safety & Security 両立の開発プロセスのイメージと支援内容

3.2 Safety & Security 開発支援サービス

SafetyとSecurityの両立の開発プロセス構築では、SafetyとSecurityの相違点の考慮が必要になります。(以下、相違点の例)

相違点の例

●用語、要求分析、開発プロセス、コーディング規約、評価など
●安全リスク分析とセキュリティリスク分析は視点が違う
●長年使い込んだソフトウェアは、Safety視点では安全と見なされる、Security視点では脆弱性の可能性を考える必要がある

SafetyとSecurityの両立にあたっては、MBSEを使ったSystem Modelを利用することを当社では推奨しています。System Model設計は、 設計状態の可視化、SafetyとSecurityの設計観点の相違から生じる設計漏れや設計手戻りがあった場合でも、設計状一貫性を保つことが可能となります。

3.3 脆弱性診断サービス

OSSを利用する際に、脆弱性診断を行い、脆弱性に関するレポ-トの作成を支援します。
また、脆弱性診断時に、各国際規格の対応を行う際は、そのレポ-ト作成を支援します。

※「FutureVuls」(https://vuls.biz/)とは、フューチャー株式会社(本社:東京都品川区大崎1-2-2)が 提供するシステムを構成するサーバのOSやアプリケーション、ソフトウェアの脆弱性を自動チェックし、運用管理者の業務を一貫して管理するクラウド型セキュリティサービスをいいます。

3.4 DevSecOps運用支援サービス

当社が提供する「OSS活用 CI/CDソリューション」と脆弱性診断サ-ビスを組み合わせることで、DevSecOpsの構築・運用サポ-トを支援します。 OSSには脆弱性が存在します。サイバーセキュリティ対策においては、ソフトウェアの脆弱性を監視し、継続的なインテグレーションとデリバリーを行うことで、早急な対応が可能となります。

DevSecOps

ALM(Application Lifecyle Management)

1 Analyzing
(分析する)

モデリングを通して開発プロセスの見える化を行い、プロセス改善、自動化可能なプロセスを分析する

2 Modeling
(設計する)

継続的なCI/CDシステムが運用できるように、プロセスの変化に合わせてメンテナンス可能なCI/CDシステムの設計を行う

3 Build
(構築する)

さまざまなツールを組み合わせることでCI/CD環境構築を実施する

4 Operate
(運用する)

会社間の連携を想定して円滑なコミュニケーションを図りながら運用する

5 Feedback
(フィードバック)

プロジェクトを計測し、状態を見える化を行うことでさらなる改善へ繋げる

CI/CD Lifecycle

サイバーセキュリティ対応にあたっては、ALM(アプリケーションライフサイクルの管理)が必要になります。通常のSDLC(ソフトウェア開発ライフサイクル)では、 要求分析~テストまでの開発フェーズに限定したものであるのに対して、ALMは、対象となるソフトウェアが廃棄されるまでを管理することになります。ALMを対応するにあたっては、 コンセプト~リリースまでのさまざまなスキルセットが必要となっており、当社での実績を活用した運用サービスを活用することで、運用を円滑に行うことができます。

CS:Cyber Security
SU:Software Update

4.SBOMの活用

現在、ソフトウェア開発においてSBOM(Software Bill Of Materials:ソフトウェア部品表)の活用に向けての議論が活発になってきています。SBOMを活用することでさまざまなメリットがありますが、一方で課題もあります。当社では、DevSecOpsソリューションとしてSBOMの活用に取り組んでおり、PoCとしてSBOMから脆弱性の可視化などにも取り組んでいます。SBOMがなぜ着目されているか、SBOMの活用と課題、当社が取り組んだ内容についてご紹介します。

SBOM(Software Bill Of Materials:ソフトウェア部品表)とは:
アプリケーションに含まれるコンポーネントの出所、互いの依存関係所やライセンスなどの情報を詳細に記録した一覧表。SBOMを作成、管理しておくことで、ソフトウェアが抱えている問題やリスクを事前に把握し、どう対処するか判断材料として参照、活用できます。

SBOMに期待されること

● ソフトウェアの複雑化、高度化とともにサプライチェーンの複雑化とソフトコードに占めるOSSの割合が増加
● さまざまな機器がつながることでサイバーセキュリティリスクの増加
● OSS利用にともなうライセンス違反も出てきており、ソフトウェア構成の透明性が必要になっている

SBOMを活用することでソフトウェアの構成を可視化

SBOMを活用することで期待される効果

1

脆弱性管理

  • OSSの既知の脆弱性の把握
  • OSSの新たな脆弱性に対する素早い対策


開発、運用フェーズ

2

ライセンス管理

  • OSSのライセンス違反、ライセンス競合のリスク低減


調達、契約フェーズ

3

開発生産性

  • ソフトウェアの依存関係を把握していることで問題を早期に特定
  • ソフトウェアの構成管理と連携することで資産管理の効率化


開発、運用フェーズ



SBOMの課題

課題1
ツールによる精度

  • ツールによって解析できないコンポートがある
  • 誤検知もある

課題2
他システムとの連携

  • SBOMで生成された名称が標準化されていない

課題3
SBOM活用

  • 大量に検出されたコンポートの優先度が決められない
  • 脆弱性に対する優先度が決められない

SBOMの内容を理解でき、適切な判断ができる人材が必要

当社が
支援
します

設計

データ分析

セキュリティ



SBOM活用 ソリューションメニュー

下記のソリューションメニューをご用意しています。お気軽にご相談ください。

1. SBOM導入支援

  • SBOMで管理する情報の定義
  • 生成ツールの選定 など

お客さまのSBOM導入の目的、要求などに合わせた支援をおこないます。

2. SBOM運用支援

  • SBOMの生成、共有するための環境構築

組織にSBOMを定着するためには繰り返し運用し改善を進めていくことが必要です。当社の強みであるCI/CDの技術を組み合わせることで、SBOM生成の自動化など継続的にSBOMの運用ができるように仕組みづくりを支援します。

3. SBOM活用支援

  • 他ツールとの連携 など

SBOMを導入、運用することによって、OSSのライセンス確認や脆弱性の把握など製品ライフサイクル全般にわたりさまざまな場面でSBOMを活用できると考えています。



SBOM活用事例

OSSのSBOM生成と脆弱性情報の収集、可視化の自動化を実現

[お客さまの課題]
製品で利用しているOSSについて人手をかけずに抽出し、OSSが持っている脆弱性を把握したい。

[解決策]
脆弱性の監視は、SBOMを活用することで、ソフトウェアが利用しているOSSを把握し、そのOSSが持っている脆弱性の情報を脆弱性管理DBから取得し、脆弱性の可視化を行うものです。CIとSBOMを組み合わせることで、人手をかけず自動的にSBOM生成、OSS情報から脆弱性情報の収集、可視化を実現しました。

5.認定資格(資格情報)

5.1 EXIN DevOps Master/Professional

当社は『EXIN DevOps Master/Professional』を取得しました

EXIN DevOps Master/Professionalは、DevOps環境下の開発/運用系の技術者または管理者の方に向けたEXIN社認定試験です。

当社では、EXIN DevOps Master 1名、EXIN DevOps Professional 5名が取得し(2023年10月現在)、お客さまにDevOps導入の全般的なテクニカルサポートを行っています。
今後も資格取得者を増やし、多くのお客さまへエキスパートによるテクニカルサポートを提供していきます。