ソフトウェア構成管理について、どのような情報管理が必要でしょうか。
車載ソフトウェア管理は、開発中の試験車両や出荷後の車両に搭載されているソフトウェアを管理します。例えば、SU法規(UN-R156)は出荷した車両のソフトウェアの管理や更新時の管理を義務付けていますが、市場でソフトウェア更新できないハードウェアに搭載されているソフトウェアは対象外です。またUN-R156は、安全なSUを運用できるセキュアな管理システム(SUMS)を構築すること、型式と関連するソフトウェアの構成を管理すること、型式への変更影響を評価すること、変更影響評価のエビデンスを記録・保管することを求めています。
従来はサプライヤと車両メーカーとの間で情報を収集して管理できていれば問題ありませんでしたが、サプライヤがさまざまなソフトウェアを調達してシステムを構成するようになると、それらについて個別に情報を集めることが難しくなります。さらにOSS(Open Source Software)を導入する際には、そのライセンス管理やセキュリティ管理が必須となります。
ソフトウェア構成管理の対象だけでも、SU対象のECU、そのECUに依存関係のあるECU、SUによる影響の評価結果、さらにはOSSのライセンスなど、多くの情報を管理する必要があることが分かります。このような管理を効率化するために、サプライチェーンで共有する情報を標準化するSBOM活用が注目されています。
SBOMとはソフトウェア部品表のことで、どのソフトウェアが搭載されているかを一元的に管理するためのデータフォーマットおよびそのデータのことです。ソフトウェアに含まれるコンポーネントの情報をデータベース化して管理し、組織の枠を超えて相互運用できるように標準化することがSBOMの基本的な考え方です。
現状はOSSに対するサイバーセキュリティやライセンス管理といったユースケースごとに、SPDXやCycloneDXといったSBOMのフォーマットが策定され、活用されています。
また、SBOMのさらなる活用方法についても有識者による議論があり、セキュリティ、ライセンス、資産管理といった活用目的に加えて、システムと法規を関連付けるRXSWINやUN-R156にて管理する情報などを新たに含めることで、法規対応のためのソフトウェア管理にも活用できます。例えば、SBOMにRXSWINに関する情報を含めることで、ソフトウェアに不具合が見つかった際に、拡張されたSBOMの情報から非属人的に型式への影響範囲を、効率的にかつ明確に分析することができます。SBOMの新しい使い方やSBOMに含める情報については、業界内で議論を進めていく必要があります。
従来のSBOMと、情報を拡張した新しいSBOMでは、それぞれの活用目的やメリットが異なると考えています。ソフトウェア構成管理が高度化していく環境下において、経済産業省は新しいSBOM活用のメリットとして「コンポーネント管理工数の低減」「ソフトウェアの透明性による脆弱性残留リスクの低減」「サプライチェーンを通じた脆弱性対応の効率化」「コンポーネントのライセンス情報管理によるライセンス違反リスク低減」などが期待できると示しています。
また、新しいSBOMは、拡張する情報の深さによりますが、UN-R156に関する影響範囲をより確実かつ効率的に特定できます。また、開発されたハードウェアやソフトウェアに加えて、ユーザーが購入したソフトウェアを依存関係として管理することで、個人でカスタマイズされた環境にも効率的な配信が非属人的に実施可能になると考えられます。
(左から)渡邉伸一郎氏、加藤淳氏
私たちPwCコンサルティングは、SDV時代に向けた課題、SBOMで扱う情報の方向性、ソフトウェア開発の業務プロセスに即した業務要件などを業界全体で議論して定義し、サプライチェーン全体で効果的に導入していくことが必要と考えています。
足並みを揃えることで、ソフトウェアのサプライヤやITベンダーは必要な開発に資源を集中させることができます。業界全体としても導入コストを低減させ、ソフトウェア管理品質の底上げにつなげられます。さらにはユーザーオリエンティッドなモビリティサービスの提供(UX向上)にもつながります。
サプライヤなどの企業の視点と、サプライヤを超えた業界の視点の2つがありますよね。企業の視点では、業務要件整理によって負荷の高いボトルネックをシステム化して効率を改善することが重要ですし、業界の視点では、構成管理業務をどのようにシステム化するか、その際に構成管理情報をどのようにシステムで管理するか、といったシステム要件の定義が必要です。
また、SBOMを導入する際のツール選定も重要です。車はライフサイクルが長いため、機能や性能面だけでなく、解析の容易性やサポート体制なども考慮して選定し、システム化する必要があるでしょう。
現状は、SDV時代の車載ソフトウェア構成管理に関して、SBOMを活用したユースケースが完全には定まっていない状況です。また、各社においてもまだSUの今後の進化を見定められていないため、SBOMの活用目的は継続的に変化していく可能性があります。例えば、VINレベルでの全アプリ管理や、車両機能に関する個車のカスタマイズ管理なども管理目的となるかもしれません。このような現状をふまえて、SBOMを構築する際は、ユースケース、業務要件、システム要件、検証などを同時並行で行えるような、アジャイル開発手法に沿った進め方が有効であると考えています。また、システムに拡張性を持たせて、市場におけるSUの進化に対応できるよう準備することも必要であると考えます。
こういったシステム開発においては、業務に強みを持つ企業と、システム化に強みを持つ企業とが上流フェーズから密に連携し、実装まで並走することが重要になると思います。
業務とシステムは最初から密接に連携し、レガシーも生かしつつ標準化させていくことが大事ですね。一方で、競争領域と非競争領域の判断も重要ですので、非競争領域で標準化を進めながら、競争領域で企業特有の価値を創造していくことが求められると考えています。
拡張したSBOMを導入する際は、ビジネス視点を考慮した上流の業務要件と、下流でモノづくりを行うシステム要件の両軸が必要です。重要なのは、SBOMの特性上、組織を超えた利用であり、自動車業界においては、車両メーカーとサプライヤ、その他関連企業がSDV対応のためのソフトウェア管理として、何が必要かをともに議論していくことだと考えています。
この取り組みは1社ではできませんし、1社で取り組む時代でもないと考えています。業界発展のために今後も議論を深めていきましょう。本日はありがとうございました。
株式会社日立製作所とPwCコンサルティング合同会社の主要関係者一同