Software, Security, Quality

セッション概要

トヨタ自動車ではソフトウェア・ファーストの考えに基づき、ソフトウェアの内製開発を進めています。その一環として、IVI(In-Vehicle Infotainment)のプラットフォーム・ソフトウェアをトヨタ自動車で内製開発しました。
トヨタ自動車における車載ECU開発では、ソフトウェア品質確保のためにコーディングルール・プロセスを社内標準として規定しています。我々のIVI開発では、本コーディングルール準拠のためにCoverityを採用し、違反コードの検出および解消に取り組んで参りました。
本セッションでは、我々が構築したCoverityを中心としたセキュア・コーディング対応プロセス・環境についてご紹介します。
また、次世代のIVI開発を見据えて最新の静的解析ツールの調査を行いました。その際に我々が実施した静的解析ツールのベンチマーク結果についてもご紹介します。

トヨタ自動車株式会社

コネクティッド先行開発部
主任

児玉優太様

セッション概要

英国 PSTI法、欧州 CRA、米国 EO14028など各国のセキュリティに関する規制の強化は目覚ましい勢いで高度化されようとしており、各民間企業においては、PSIRTの立上げ、セキュア開発(SDLC)の導入が必須となります。
リコーでは、国際標準ISO/IEC 29147/30111に基づくPSIRT運用の取組みや、ISO/IEC 27034-1に基づくセキュア開発プロセスの導入を進めており、各国規制への対応の基礎としています。本セッションでは、セキュア開発やPSIRT立上げ等に役立つツール類や取組みの知見などをご紹介します。
サプライチェーン全体のセキュリティが求められる為、OEMやシステム連携を前提としたデジタルサービス協創の時代においては、個社の対応だけで市場の要求を満足することができません。社会全体で水準を上げていくことが必要であり、本講演がその一助となれば幸いです。

株式会社リコー

セキュリティ統括センター
セキュリティストラテジストエキスパート

神保潤哉様

セッション概要

近年、病院施設やインフラ施設を標的としたサイバー攻撃によって社会全体が大きな被害を受けています。こういった重要度の高い施設で利用される製品群を擁する島津製作所では，製品自体のサイバーセキュリティを向上させる活動が重要だと考えております。
その第一歩として、当社では製品のサイバーセキュリティ・リスクを可視化し評価するための作業標準を作成しました。作成にあたっては、当初、NISTのSP800シリーズやマイクロソフト社の提案するSTRIDE分析手法を基に検討を進めましたが、作業量が膨大になることが課題になっていました。
本セッションでは，シノプシス社のコンサルティングサービスを活用することで作業標準を改善できた事例をご紹介します。

株式会社島津製作所

総合デザインセンター
主任

橘鮎郎様

日本シノプシス合同会社

ソフトウェア・インテグリティ・グループ
シニア・コンサルタント

渡邊啓

セッション概要

昨今ではテクノロジの進化が急速で多岐にわたっており、大規模な組織にとって、そのような新たなテクノロジをどのように統制し、組織内に浸透させていくかが課題となっています。このような状況下において、富士通ではSaaSを中心としたFujitsu Developers Platformという共通開発基盤の整備・展開を進めております。その中で開発におけるツール標準化の一要素として、アプリケーション・セキュリティ・テストツールの導入を進めており、今回富士通では、シノプシス社が提供するSaaS型アプリケーション・セキュリティプラットフォームであるPolarisを採用いたしました。本講演ではPolarisの社内導入に向け、シノプシス社と進めてきた取り組みについてご紹介します。

富士通株式会社

ソフトウェアオープンイノベーション事業本部
Tech Standardize統括部

吉本和紀様

セッション概要

医療機器規制の国際調和を目指すIMDRFから「医療機器サイバーセキュリティの原則と実践」に関するガイダンスが2020年発行され、日本でも薬機法による規制にこのガイダンスを取り入れ、2023年3月付けで通知されました。これは、一般原則及びベストプラクティスについて、全ての責任関係者に対して推奨事項を提供するもので、医療提供者、製造販売業者等すべての利害関係者の共同責任とし、製品ライフサイクル全体を対象としています。この中でSBOMについても言及され、機器に実装される商用、オープンソース及び市販のソフトウェア部品のサイバーセキュリティに関する情報及びサポートの重要性も示されています。医療機器製造販売業者の視点から対応について論じます。

一般社団法人電子情報技術産業協会／日本光電工業株式会社

ヘルスケアインダストリ部会　医療用ソフトウェア専門委員会委員長／技術戦略本部

松元恒一郎様

セッション概要

2021年の米国大統領令でにわかに脚光を浴びたソフトウェア・サプライチェーン、特に自動車ではUN.R155/156、と医療機器分野ではFDAやIMDRFなどによるソフトウェア・セキュリティの向上に向けた新しい取り組みとして、ソフトウェア・サプライチェーンという概念と、SBOM(ソフトウェア部品表)という技術が導入されています。日本では自動車、医療機器ソフトウェアにおいて経済産業省が実証プロジェクトを実施します。本セッションでは、この新しい取り組みを始めた業界を代表する方々にご登壇いただき、経産省のソフトウェア管理手法等検討タスクフォースのメンバーである日本シノプシスの松岡がモデレーターを務め、これからのソフトウェア・セキュリティのあり方について議論します。

一般社団法人ソフトウエア協会 / 株式会社ビジネスブレイン太田昭和

Software ISAC 共同代表理事 / CMO

萩原健太様パネリスト

一般社団法人 Japan Automotive ISAC / マツダ株式会社

技術委員会 / MDI&IT本部
委員長 / 主査（グローバルセキュリティ担当）

山崎雅史様

一般社団法人電子情報技術産業協会 / 日本光電工業株式会社

ヘルスケアインダストリ部会　医療用ソフトウェア専門委員会委員長/技術戦略本部

松元恒一郎様

日本シノプシス合同会社

ソフトウェア・インテグリティ・グループ
シニア・テクニカル・マーケティング・マネージャー

松岡正人モデレーター

セッション概要

テラスカイでは自社で提供するサービスが増加するに伴い、OSSのライセンスとセキュリティ脆弱性の管理に課題が散見するようになりました。すべてのサービスで利用もしくは使用しているOSSは1万近くと膨大な数に上り、すべてのリスクを人手で管理するのは不可能です。
そこでテラスカイでは従来からOSS管理ツールを導入し、OSSを管理してきました。昨年より導入したBlack Duckにより、従来と比較してOSSの誤検出が激減し、運用コストの削減を実現しています。
当セッションではテラスカイにおけるBlack Duckの導入に至った経緯と、エンジニアがリスク対応に集中するための運用方法のポイントをご紹介します。

株式会社テラスカイ

取締役　専務執行役員　製品事業ユニット長

山田誠様

株式会社テラスカイ

製品開発本部　開発支援部　部長　

菱田知弘様