続 ソフトウェアだけじゃない、きっとRXSWINやCVEも -ソフトウェア部品表 SBOM-
前回までの「これからのくるまのセキュリティを考えるぶろぐ」・・・
最近のセキュリティ事情をざっと見つつ、その中でソフトウェア部品表(Software Bill of Materials: SBOM)を取り上げました。具体的にSBOMの管理ツールとしてBlackberry社のJARVIS 2.0を拝見し、CVEはもとよりRXSWINも一緒に管理したいなあ、などと妄想をしておりました。
今回は同様の管理ツールとしてCybellum(サイベラム)社を見てみたいと思います。
ところで、Cybellumといえば韓国のLG社に買収されるという記事には驚きましたね。
液晶に強いくらいのイメージしか持っていませんでしたが、いつの間にかスマートフォン市場から撤退し、自動車業界へ軸足を移そうとしているのでしょうか。既にEV向けバッテリーでは最大手の一角を占めているLG社ですが、Cybellum社を買収するあたりセンスを感じます。
(日本企業、特にパナソニック社あたりがなぜこういった動きを先んじてできないのか、甚だ残念な気持ちになります。乗り心地や加速のフィーリングなど、人が意思を持って運転する時代の車は日本の擦り合わせ型のものづくりが競争力を持ちましたが、もはやEVの自動運転が到来してしまった暁には、エクステリアやインテリアのカッコよさも求められるでしょうが、それ以上に車を包み込む各種のソフトウェアがその車の価値の大半を決めてしまう、とわたし自身は考えております。パソコンやスマートフォンを例に上げるまでもありません。)
少し脱線しましたが、SBOMの管理ツールに戻りましょう。Blackberry社のJARVIS 2.0と同様、Cybellum社はバイナリー解析に特化している、という話しまでは前回しました。製品セキュリティアセスメントなるソリューションを紹介している同社のHP↓を見てもそれっぽい概要しか書いてありませんでした。
が、別の記事ではBlackberry社の画面によく似たものを見つけました。
上は使用しているとあるソフトウェアについて、未解決のCVE一覧を表示しているものかと推測できます。下はひとつのモデルにおける主要なソフトウェアのリスクをスコア化し、該当モデルトータルでのリスクもスコアとして表示しているのではと推測します。いずれにせよ、前回見たBlackberry社の管理ツールとやろうとしていることは同様で、使用しているソフトウェアが抱えているCVEとそのCVEが解決されたバージョンを明らかにし、バージョンアップすべきソフトウェアの一覧を重要度も付記した上で見える化する、というものかと思います。
まだまだいろいろな機能があるはずですが、現時点で見えているものから察してみました。Blackberry社もCybellum社も、採用事例とともにツールの全容が見えてくることを期待しましょう。そして、ぜひとも、日本製のSBOM管理ツールの開発も待ってます!!
