アズジェント、車載用ECUにおける脆弱性を早期発見するためのサービス
ThreatHive提供開始
2018年10月11日
株式会社アズジェント
(JASDAQ・コード番号4288)
ネットワークセキュリティ提供を主業務とする株式会社アズジェント(所在地:東京都中央区 代表取締役社長:杉本隆洋 以下アズジェント)は、Karamba Security Ltd.(カランバセキュリティ CEO & Co-founder:Ami Dotan 所在地:イスラエル 以下、Karamba社)の コネクテッドカーのECUにおける脆弱性を早期発見するためのサービス 「ThreatHive」 の提供を開始します。
【背景】
自動車に搭載される電子制御ユニットであるECUはエンジン、ブレーキをはじめ、様々な用途で搭載されています。コネクテッドカーの実用化が叫ばれる今日、インターネットからECUへのハッキングを防ぐことは必須です。ECUは通常、要求分析→ソフトウェア設計→コーディング→単体テスト→結合テスト→総合テスト→仕様適合度判断 のプロセスを経て開発されます。セキュリティにおけるテストは総合テストの段階で行われます。しかしながら、テストにはセキュリティ以外にも様々なテストを行う必要があるため、セキュリティテストに多くの時間をかけることができないのが現状です。また、優良なレッドチーム(テストチーム)をタイムリーかつコストエフェクティブに委託することは現実的難しさがあります。万が一、脆弱性が発見された場合には、既に総合テストが終了したECUへの修正となるため、市場投入に時間がかかるといった問題がありました。さらに、人的リソースやセキュリティ知識が不十分で、脆弱性の洗い出しが十分ではなかった場合には、アップデートを頻繁に実施する必要も生じます。
【ThreatHive】
Karamba社の「ThreatHive」は、ECUの脆弱性の早期発見を可能にするプラットフォームを提供します。世界の複数個所に配置されたKaramba社のCloud仮想マシンに開発中のECUソフトウェアを設置、攻撃情報を収集します。収集した情報をアナリシス機能で分析することにより、総合テスト前に脆弱性情報を得ることができます。これらの脆弱性情報からソフトウェアに修正を施すことで、さらにソフトウェアを強固にすることが可能となります。これにより、製品の市場投入への時間短縮が可能となるとともに、市場投入後のアップデートも減らすことができます。
Karamba社のCEO & Co-founderであるAmi Dotanは、次のように述べています。
「Karambaの新しいECU保護のためのポートフォリオは、コネクテッドカーを安全なものにするためにセキュリティ研究で得た知見を提供するものです。顧客は実際のセキュリティシナリオで製品をテストする方法を必要としています。このアプローチであれば問題を修正するのに十分な時間のあるタイミングでサイバー攻撃の情報を得ることができます。コードの脆弱性に関する知見を得ることにより、顧客は製品化する前に予防技術を更新し、脆弱性を修正することができ、製品を市場に投入するまでの時間を犠牲にすることはありません。」
【Auto-ISAC】
Auto-ISAC(Automotive Information Sharing and Analysis Center:自動車情報共有・分析センター)は、米国の自動車業界でサイバー攻撃の脅威や潜在的な脆弱性に関するインテリジェンスを、共有・トラッキング・分析するための安全なプラットフォームを確立することを目的として、設立した組織です。メンバーにはフォード、ゼネラルモータース、トヨタ自動車、マツダ、BMW等のOEM、Tier-1などのサプライヤなどが含まれており、サイバー脅威、脆弱性、およびコネクテッドカーに関連するインシデント情報の共有、分析のハブとして機能しています。
また、Auto-ISACには戦略パートナーシッププログラムがあり、Auto-ISACのボードメンバーによる審査、承認を得た企業のみが戦略パートナーとして認定されます。Karamba社はThreatHiveを用いた脆弱性早期発見の仕組みが評価され、2018年9月より戦略パートナーに認定されました。今後、Karamba社は戦略パートナーとして、Auto-ISACとそのメンバーにThreatHiveを用いて得た汎用コンポーネントに対する攻撃データや脆弱性情報を提供します。Auto-ISACに脆弱性情報をサービスとして提供するパートナーはKaramba社のみとなります。
Auto-ISACのエグゼクティブディレクターであるFaye Francy氏は、Karamba社の戦略パートナーシッププログラム参加に対して、以下のとおりコメントしています。
「Karamba社がAuto-ISACの戦略パートナーとして迎え入れることを喜ばしく思っています。そして、彼らが提供するECUの脆弱性や脅威に対する見解を期待しています。Karamba社のECU強化とフォレンジック情報を活用することで、我々は車両のライフサイクル全体においてセキュリティ対策に取り組むことができます。」
アズジェントでは、Karamba社と共同で国内のOEMやTier1向けにThreatHiveの提供を行ってきます。尚、2019年Q1より提供開始を予定しており、価格はオープンプライスとなります。
関連商品・サービス
・IoTwall、Carwall(コネクテッドカーセキュリティ)