トヨタ自動車など121社が加盟する自動車業界のサイバーセキュリティー団体「ジャパン・オートモーティブISAC(J-Auto-ISAC)」は22日、ソフトウエアにサイバー上の脆弱性が見つかった際に対応しやすくなるソフト部品表「SBOM(エスボム)」の参考指針を公開した。業界として初の指針で、サプライチェーン(供給網)全体でのエスボム普及を後押しする。
エスボムは、ソフトを構成するプログラムの名称や更新状況などの情報を一覧にしたもの。プログラム内にサイバー攻撃の穴となる脆弱性が見つかった場合、エスボムを照合すれば自社製品への影響を早期に確認・対応できる。経済産業省や厚生労働省もガイドラインで推奨している。
J-Auto-ISACは約60ページの参考指針で、エスボム自体の解説に加え、自動車業界として特に盛り込むべき情報の中身や粒度、運用にあたってどんな知識やスキルが求められるかをまとめた。米国の自動車のサイバー対策団体「Auto-ISAC」とも内容をすりあわせており、米企業とソフトウエア開発で連携する際に齟齬(そご)が出にくいようにしているという。
自動車業界は大手メーカーごとの系列も存在し供給網が複雑で、大手がばらばらのエスボム運用をすれば2次受けや3次受け以上の中小が混乱する。参考指針で足並みをそろえる狙いだ。
J-Auto-ISACのサイバーセキュリティエコシステム構築センター、山﨑雅史センター長は「エスボムは作って終わりではなく、ソフト開発部署や社内のサイバー対策組織、社外の取引先といったサプライチェーン全体での円滑な運用がカギだ。業界全体の底上げにつなげたい」と話す。
鄭重声明:本文の著作権は原作者に帰属します。記事の転載は情報の伝達のみを目的としており、投資の助言を構成するものではありません。もし侵害行為があれば、すぐにご連絡ください。修正または削除いたします。ありがとうございます。
