Ponemon Instituteが実施した調査から、開発ライフサイクルを通じて最良のサイバーセキュリティ対策を実践できていない自動車メーカーや関連企業の実態が明らかとなる
2019年2月20日 東京発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)ならびに、航空宇宙/自動車等の開発に従事するエンジニアや専門技術者を会員とする国際的な非営利団体 SAE International(SAE:Society of Automotive Engineers)は、 “Securing the Modern Vehicle: A Study of Automotive Industry Cybersecurity Practices”(日本語版タイトル「最先端の自動車セキュリティ:自動車業界のサイバーセキュリティ・プラクティスに関する調査」)と題する調査結果を公表した。グローバルな自動車メーカーならびに関連企業に対する今回の調査(Ponemon Institute社に実施を委託)の結果から、自動車業界の多くの企業/団体に大きな影響のある重大なサイバーセキュリティ上の課題ならびに対策不足の実態が明らかになった。それによると、自動車開発およびセキュリティの専門家の84%は、自身の所属する企業/団体のサイバーセキュリティ対策が、テクノロジの進展ペースに追いついていないと懸念している。また、それらの企業/団体のうち30%は、確固たるサイバーセキュリティ対策ならびに部門を持っておらず、63%もの企業/団体が、開発中の自動車技術の半分以下にしかセキュリティ脆弱性テストを実施していないことが判明した。
SAE InternationalのGround Vehicle Standards担当ディレクター Jack Pokrzywaは、次のように語っている。「今回シノプシス社とともに取りまとめた調査報告書には、自動車業界のサイバーセキュリティ専門家の懸念を裏付ける現実がデータとして掲載されており、今後のあるべき方向性も明らかになっています。SAE会員の技術者は、車載システム開発ライフサイクルを通じてサイバーセキュリティ対策を実施する手法を過去10年間にわたって模索し続け、世界初の自動車サイバーセキュリティ標準であるSAE J3061™の策定に向けて協業してまいりました。SAEでは今回の調査結果を受けて、求められるセキュリティ対策、技術トレーニング、標準化、最良の実践例の確立を主導し、業界を挙げて取り組んでまいります。こうした取り組みを通じて、先進の自動車システムのセキュリティならびにセーフティを改善してまいります」
シノプシスとSAEは、先進のITセキュリティ調査会社 Ponemon Institute社に委任して、自動車業界で現在実践されているサイバーセキュリティ対策の実態、ならびにソフトウェアが実現するコネクディッド・カーに付き物のソフトウェア・セキュリティ・リスクに対処する能力を調査した。Ponemon社は、グローバルな自動車メーカーならびに関連企業、サービス・プロバイダに所属する593名の専門家を対象に調査を実施した。豊富な経験/知識を基にした回答を得るため、インフォテイメント・システム、テレマティクス、ステアリング装置、車載カメラ、SoCコンポーネント、自動走行システム、Wi-Fi/Bluetoothその他のRFテクノロジといったオートモーティブ・テクノロジのセキュリティに関わっている技術者を調査対象に選んでいる。
シノプシス ソフトウェア・インテグリティ・グループ 共同ジェネラル・マネージャー Andreas Kuehlmannは、次のように述べている。「自動車開発にあたってはソフトウェア、コネクティビティ、その他の最新テクノロジが組み込まれるようになっており、そのことはこれまでに存在していなかった重大なリスク要因も生み出しています。サイバーセキュリティ・リスクです。今回の調査は、システム開発ライフサイクルそしてオートモーティブ・サプライチェーン全体を通じて総合的なサイバーセキュリティ対策を実行していかなければならないという抜本的なパラダイム・シフトの必要性を明確に示しています。幸いにもこうした課題に対処していくために必要となるテクノロジと最良の実践例は既に存在しています。シノプシスは、自動車技術者の皆様がそれらを活用していくためのお手伝いをしています」
今回の調査で注目されるその他のポイントは以下のような項目である。
サイバーセキュリティ対策のためのスキルと人員の不足
回答者のうち半数以上は、自身の所属する企業/団体がサイバーセキュリティ対策に必要な予算と人員を確保できていないと指摘しており、62%は、システム開発で必要となるサイバーセキュリティ対策スキルが不足していると回答している。
サイバーセキュリティ・テストが優先事項となっていない
システムのセキュリティ脆弱性テストを実施している企業/団体が半数以下にとどまっている一方で、71%は、納期厳守が最優先事項となっており、そのことがセキュリティ脆弱性の存在につながっていると認識している。
開発者へのサイバーセキュリティ・トレイニングの必要性
所属する企業/団体が開発者にセキュアなコーディング手法についての教育を施していると回答した人は、わずか33%に過ぎない。その一方で、セキュアなコーディングに関する知識やトレーニングの不足が脆弱性の存在の第一要因であると回答した人は60%に上っている。
サプライチェーン全般に存在するサイバーセキュリティ・リスク
回答者の実に73%は、サードパーティから調達したオートモーティブ・テクノロジのサイバーセキュリティ対策に懸念を持っていると表明している。自身の企業/団体がサプライチェーンの上流企業から提供されるシステムにサイバーセキュリティ対策を義務付けていると回答した人は、わずか44%に過ぎない。
本調査結果 “最先端の自動車セキュリティ:自動車業界のサイバーセキュリティ・プラクティスに関する調査”は、下記より無償で入手可能。
2019年2月27日に開催のWebセミナーへは、下記より参加登録受付中。(英語版)
https://www.brighttalk.com/webcast/13983/346745?utm_source=pressrelease
自動車業界向けソフトウェア・セキュリティ・ソリューションの詳細情報は下記より入手可能。
https://www.synopsys.com/ja-jp/software-integrity/solutions/by-industry/automotive.html?cmp=pr-sig
SAE Internationalについて
SAE Internationalは、技術専門職のための最高水準のナレッジ・ソースを提供するグローバルな非営利団体である。毎年約20万人のエンジニア、テクニカル・エキスパート、ボランティアが会員として参加しており、様々な業界にまたがる技術的知見や専門知識を蓄積している。陸上車両/船舶/航空宇宙の分野の技術専門職に携わる人々が生涯を通じて学べる機会の提供と、業界の技術者のための標準規格の策定の二点に重点を置いて活動している。また、A World in Motion®やCollegiate Design Series™などのプログラムをはじめ、SAE Foundationの慈善活動を通じてより良い世界の実現を目指している。
シノプシス・ソフトウェア・インテグリティ・プラットフォームについて
シノプシスのソフトウェア・インテグリティ・グループは、セキュアで高品質なソフトウェア開発を可能にし、リスクの最小化と開発効率/スピードの最大化を実現するソリューションで企業/団体を支援している。シノプシスはアプリケーション・セキュリティ・テストのリーディング・カンパニーとして高い評価を受けており、静的解析、ソフトウェア・コンポジション解析、動的解析のソリューションを提供している。これにより、ソフトウェア開発企業/団体が独自開発しているコード、用いているオープンソース・ソフトウェア、アプリケーション動作の中に潜む脆弱性や欠陥を短時間で特定/修正することが可能となる。業界をリードするツールならびにサービス、専門技術の組み合わせにより、ソフトウェア開発企業/団体がDevSecOps(開発とセキュリティ確保と運用の連携)プロセスやソフトウェア開発ライフサイクルを通じて最大限のセキュリティとクオリティを達成できるよう支援している企業はシノプシスのみである。
詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ・ソリューションの分野でも業界をリードしており、世界第15位のソフトウェア・カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、最高レベルの品質とセキュリティが要求されるアプリケーション・ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。
詳細な情報は、http://www.synopsys.com/japanより入手可能。
# # #
Synopsysは、Synopsys, Inc.の登録商標または商標です。
その他の商標や登録商標は、それぞれの所有者の知的財産です。
<お問い合わせ先>
日本シノプシス合同会社 フィールド・マーケティング・グループ 藤井 浩充
TEL: 03-6746-3940 FAX: 03-6746-3941
2024/5/6 - シノプシス、ソフトウェア・インテグリティ・グループ事業のClearlake Capital社とFrancisco Partners社への売却で正式契約を締結
2024/4/24 - シノプシス、TSMC社の最先端プロセスを活用した次世代チップ・イノベーションを加速
2024/4/17 - シノプシス、包括的なソフトウェア・サプライチェーン・セキュリティ対策のための新ツールBlack Duck Supply Chain Editionを提供開始
2024/4/17 - シノプシス、オープンソース・セキュリティ&リスク分析レポートを発表 コードベースの74%に高リスクのオープンソース脆弱性、前年から54%増加