アズジェントは、Auto-ISAC戦略パートナー(※1)のイスラエル・カランバ・セキュリティ(Karamba Security)の車載用ECUの脆弱性早期発見サービス、「ThreatHive」を、2019年Q1から提供する。
自動車に搭載されるECUは、エンジン、ブレーキをはじめ、様々な電子部品の制御ユニットで、コネクテッドカーともなれば、インターネットからのハッキング防止は必須になる。
ECUは通常、要求分析 → ソフトウェア設計 → コーディング → 単体テスト → 結合テスト → 総合テスト → 仕様適合度判断のプロセスを経て開発され、セキュリティのテストは、総合テストの段階で行われると云う。
しかし、ECUの開発では、様々なテストを行う必要があるため、セキュリティテストに多くの時間をかけること、また、テストのための優良なチームをタイムリーに、費用効果を伴っての委託は、難しいとのこと。
また万が一、脆弱性が発見された場合、既に総合テストが終了したECUへの修正となるため、市場投入の遅れ、さらに、脆弱性の洗い出しが十分ではなかった場合には、アップデートを頻繁に実施する必要も生じる。
「ThreatHive」では、ECUの脆弱性の早期発見を可能にするプラットフォームを提供。世界の複数個所に配置されたカランバ社のCloud仮想マシンに開発中のECUソフトウェアを設置することで、攻撃情報を収集、アナリシス機能で分析することにより、総合テスト前に脆弱性情報を得ることができると云う。
サービスの利用者は、これら脆弱性情報を元にソフトウェアを修正することで、より強固なソフトウェアの開発ができ、製品の市場投入への時間を短縮、市場投入後のアップデートも減らすことができるとしている。
アズジェントでは、カランバ社と共同で、国内のOEMやTier1向けに、2019年Q1から「ThreatHive」の提供開始を予定、価格はオープンプライスとなっている。
※1)Auto-ISAC(Automotive Information Sharing and Analysis Center:自動車情報共有・分析センター):
米国の自動車業界でサイバー攻撃の脅威や潜在的な脆弱性に関するインテリジェンスを、共有・トラッキング・分析するための安全なプラットフォームを確立することを目的として、設立された組織。
メンバーにはフォード、ゼネラルモータース、トヨタ自動車、マツダ、BMW等のOEM、Tier-1などのサプライヤなどが含まれており、サイバー脅威、脆弱性、およびコネクテッドカーに関連するインシデント情報の共有、分析のハブとして機能している。
また、Auto-ISACには戦略パートナーシッププログラムがあり、Auto-ISACのボードメンバーによる審査、承認を得た企業のみが戦略パートナーとして認定される。
カランバ社は、ThreatHiveを用いた脆弱性早期発見の仕組みが評価され、2018年9月、戦略パートナーに認定。
今後、カランバ社は戦略パートナーとして、Auto-ISACとそのメンバーにThreatHiveを用いて得た汎用コンポーネントに対する攻撃データや脆弱性情報を提供。現在、Auto-ISACに脆弱性情報を提供するパートナーはカランバ社のみとなっている。
■アズジェント:https://www.asgent.co.jp/
■Karamba Security(英語):https://karambasecurity.com/