ESCRYPT CycurRISKとONEKEYとの連携

今回発表されるONEKEYとESCRYPT CycurRISKの共同ソリューションは、ソフトウェアデファインドビークルの脆弱性管理という自動車業界の重要な課題への対処を目的としています。

自動車メーカー（OEM）は、UN-R155（自動車のサイバーセキュリティに関する国連標準）の下で、車両に存在する脆弱性を監視し、検出して対応する義務を負っています。ただし、効果的な脆弱性管理を実施するには、各車両で動作しているソフトウェアコンポーネントとそのバージョンを特定する必要があります。これは容易なことではありません。こうした脆弱性に関する情報を、「ソフトウェア部品表」とも呼ばれるSBOM（Software Bill of Materials）を用いて管理するのは複雑な作業です。さらに、脆弱性スキャンでは、影響を及ぼす可能性のある事項（発見事項）のリストが膨大な量となることもあり、それらに優先順位を付けて対処するのは開発者にとって悩ましく難しい問題です。

今回の共同ソリューションは、こういった問題に対処するために開発されました。ONEKEYは、SBOMを管理して検証するとともに、脆弱性を検出して自動的に優先順位を付けるためのプラットフォームを提供します。これを使えば、ソースコードにアクセスしなくても、バイナリからソフトウェアコンポーネントのリスト（つまり、SBOM）を自動生成できます。さらに、既知の脆弱性を一意に識別するための共通脆弱性識別子（CVE識別番号）と未知の脆弱性（ゼロデイ脆弱性）を短時間で特定し、優先順位を付けることができます。一方、ESCRYPT CycurRISKは、脅威分析とリスクアセスメント（TARA）の作成およびメンテナンスをサポートします。分析担当者は、分析対象の機能やコンポーネントに関する有用なコンテキスト情報を入手して、資産に対する潜在的攻撃の影響を特定のコンテキスト内で評価できます。その後、ESCRYPT CycurRISKから得られた情報を利用して、ソフトウェアに存在する重要な脆弱性に優先順位を付けることができます。

この共同ソリューションを使えば、大量の脆弱性が特定された場合でも管理が容易になります。フィルタが適用され優先順位付けされた脆弱性のリストが得られるので、開発者はソフトウェア開発における最も重要な品質の向上やプロセスの改善といった本来業務に集中できます。

今後、両者の更なる連携強化により次のような成果も期待されています。第1に、脆弱性管理からTARAへの情報フィードバックのユースケースがさらに拡張され、常に最新のリスク評価が利用可能になる見込みです。第2に、ソフトウェアデファインドビークルの脆弱性管理の効率と有効性をさらに高めるため、ESCRYPT CycurGUARDやESCRYPT CycurFUZZなどの他のETASサイバーセキュリティ製品やソリューションを緊密に連携させることで、拡張されたエコシステムの構築を目指します。

これらのエキサイティングな開発に関する最新情報にご期待ください！

 

ONEKEYについて

ONEKEY は、ヨーロッパを代表する製品サイバーセキュリティおよびコンプライアンス管理企業であり、PricewaterhouseCoopers Germany（PwC）の投資ポートフォリオの一部です。自動製品サイバーセキュリティおよびコンプライアンスプラットフォーム（PCCP）と、専門知識およびコンサルティングサービスのユニークな組み合わせにより、同社は、迅速で包括的な分析、サポート、管理を通じて、製品の購入、設計、開発、製造から販売終了に至るまでの、製品のサイバーセキュリティとコンプライアンスの改善に貢献しています。