車載開発におけるDevSecOpsの最新動向
Introduction
DevSecOpsの導入は、自動車のセキュリティ保護や長期テストの自動化において重要な役割を果たします。
自動車メーカーやソフトウェアベンダーは、開発の初期段階からセキュリティを組み込むことで、運転時の安全性を高めています。
DevSecOpsは、既存のDevOpsにセキュリティを加えた概念で、コード開発に一貫性と構造化をもたらします。
最新のベストプラクティスには、自動セキュリティ制御とテストシーケンスの組み込み、コードスキャンツールの使用、脅威モデル化などが含まれます。
NTT DATAは、SBOM(Software Bill of Materials)を活用し、セキュリティリスクの管理と対策を効率化しています。
DevSecOpsの自動化により、継続的なセキュリティテストが可能となり、開発のアジリティを損なわずにセキュリティを強化できます。
DevSecOpsの重要性
セキュリティ保護: DevSecOpsは、開発の初期段階からセキュリティを組み込むことで、運転時の安全性を高めます。
リスク軽減: 潜在的な脆弱性を早期に評価・排除することで、より安全なソリューションを提供します。
顧客信頼の維持: セキュリティ向上により、顧客の信頼を維持し、サイバーセキュリティ問題に対処します。
効率的なコードメンテナンス: 一貫性と構造化をもたらし、コードのメンテナンスを効率化します。
最新のベストプラクティス
自動セキュリティ制御: 開発の初期段階で自動セキュリティ制御とテストシーケンスを組み込む。
コードスキャン: コード開発時にコードをスキャンできるツールを使用して、セキュリティ上の問題を早期に発見。
脅威モデル化: 脅威のモデル化による脆弱性の発見とセキュリティ対策のギャップを修正。
SASTツール: 静的アプリケーションセキュリティテスト(SAST)ツールを使用して、ソースコードまたはコンパイル済みコードを解析。
DASTツール: 動的アプリケーションセキュリティテスト(DAST)を適用し、ハッカーの攻撃を模倣する。
NTT DATAの取り組み
SBOMの導入: NTT DATAは、SBOM(Software Bill of Materials)を活用し、セキュリティリスクの管理と対策を効率化。
SSDFの実装: NIST SSDF(SP800-218)の手法を実装し、サプライチェーンセキュリティを強化。
社内PoC: 社内PoCを通じてSBOM統合管理のソリューションをブラッシュアップ。
海外展開: 海外グループ会社と連携し、サプライチェーンセキュリティ保護サービスを提供。
自動化と継続的なセキュリティ
CI/CDパイプライン: DevSecOpsではCI/CDのパイプラインに自動化された各種セキュリティテストを組み込む。
継続的なテスト: 継続的なセキュリティテストを実現し、脆弱性を早期に発見・対処。
SASTとDAST: プログラムソースコードをスキャンするSASTと、実際に攻撃を実行するDASTを活用。
コスト削減: 自動化により、手動テストのコストと時間を削減。
アジリティの維持: 開発のアジリティを損なわずにセキュリティを強化。
自動車業界の動向
自動運転車の普及: 自動運転車の世界市場は2019年から2026年の間に年間成長率39.5%で拡大すると予測。
UNECEの基準: 国際連合欧州経済委員会(UNECE)は、サイバーセキュリティおよびソフトウェアセキュリティに関する国際基準を整備。
ECUとADAS: 自動車のECUやADASの設計においてセキュリティ保護が最優先事項。
テレマティックスの普及: 2023年には7億7,500万台を超える自動車がテレマティックスまたは車載アプリケーションによって接続される見込み。
シミュレーションテスト: Wind River Simics®を使用したフルシステムシミュレータでのテストが重要。