車載サイバーセキュリティ　脆弱性管理をもっとスマートに　CycurANALYZE - ETAS

なぜ脆弱性管理が必要なのか？

近年、自動車のソフトウェアは接続性や機能の高度化により複雑性が増し、潜在的な脆弱性が急増しています。この結果、サイバー攻撃のリスクが高まると同時に、国際的な規制（ISO/SAE 21434 や UN-R155）への準拠も義務付けられるようになりました。しかし、現場では依然としてスプレッドシートや手動での管理が多く、ソフトウェアコンポーネントの把握や脆弱性の特定、優先順位付けに多大な時間と工数がかかっています。

主な課題

脆弱性情報が散在して把握できない
修正の優先度が分からない
チーム間の共有に時間がかかる

このような課題に対して、CycurANALYZEの導入により効率的に脆弱性を検出し、対応を最適化することができます。

CycurANALYZE とは

CycurANALYZE powered by ONEKEYは、イータス社による脆弱性管理ツールです。

このツールでは、バイナリファイルを活用してソフトウェア部品表（SBOM）の生成・検証を自動化し、脆弱性を迅速に検出・優先順位付けをプロアクティブに実行することができます。また、セキュリティインシデントになる前に問題をプロアクティブに処理することでコストを削減し、CI/CDパイプラインへの統合やAPI連携により開発プロセスにスムーズに組み込めるため、規制準拠・効率化・リスク低減を同時に実現する、次世代の脆弱性管理ソリューションです。

主な機能

バイナリファイルから SBOM を自動生成
既存 SBOM の検証と隠れた依存関係の検出
脆弱性スキャンと自動優先順位付け
CI/CD パイプラインとの統合による自動化

1. 製品内のコンポーネントと依存関係を識別するためにバイナリファイルを利用して、ソフトウェア部品表（SBOM）を自動的に生成します。
2. 既存の検証プロセスでは、既存の SBOM をバイナリファイルと比較して、隠れたコンポーネントを検出します。
3. コンポーネントに対する既知の脆弱性を識別するための、脆弱性スキャンを自動化します。

特長

SBOM の自動生成・検証	バイナリファイルからソフトウェアコンポーネントと依存関係を特定し、包括的なSBOMを自動で生成。さらに、既存SBOMを検証することで、見落としがちな依存関係も可視化し、SBOMの精度を高め、潜在的なリスクを明確に。
脆弱性検出と自動スキャン	NVDなどの脆弱性データベースと連携し、SBOMに含まれるソフトウェアコンポーネントを自動スキャン。また、既知の脆弱性を効率的に検出し、バイナリ文脈に基づく分類を実施するため、「見える化」と「アクション可能な結果出力」が特長。
優先順位付けによる効率的な対応	単純な検出だけでなく、状況に応じた脆弱性の優先順位付けを自動で実施。既存の脅威分析・リスク評価情報（TARA）と組み合わせることで、最も重要な課題にフォーカスして迅速に対応可能。
自動化と統合性	APIを通じてCI/CDパイプラインと統合でき、開発プロセスの早い段階で脆弱性管理を自動化するため、日々の開発フローに負荷をかけずに安全性の担保の実現に貢献。

導入メリット

セキュリティ戦略の強化	SBOMの生成から脆弱性の検出、優先順位付けまでを自動化することで、人的ミスを削減、セキュリティ戦略を強化し、サイバーインシデント前のプロアクティブな対応が可能。
時間とコストの削減	手動で実施していた脆弱性管理作業を自動化し、検出から対応までの所要時間を大幅に短縮。修復までのリードタイムを短縮し、工数・コストの削減に貢献。
品質向上と規制対応	SBOMの生成・管理と自動化された脆弱性評価は、ISO/SAE 21434やUN-R155など自動車産業における国際規格・規制への対応をサポート。
開発プロセスとの親和性	CI/CDなど、開発プロセスに自然に組み込み可能な設計のため、セキュリティガバナンスを分断せずに統合可能。DevOpsやSecDevOps の一環として活用。

サイト内検索

なぜ脆弱性管理が必要なのか？

主な課題

CycurANALYZE とは

主な機能

特長

導入メリット

関連製品

お問い合わせ

ETASメーカー情報TOPへ