CI/CD パイプラインは、DTSインサイトが提供する CI/CD ソリューションにより構築したものです。2023年11月15日から17日にパシフィコ横浜で開催される「EdgeTech+ 2023」内オートモーティブ ソフトウエア エキスポの DTSインサイトブース(C-Z07)にて、この検証をデモとして展示いたします。EMLinux と DTSインサイトの CI/CD ソリューションを組み合わせることにより、組込み用途で要求される脆弱性への素早い対応を、長期にわたり安定的に行うことが可能となります。
背景
独立行政法人 情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」の 2023年版 ※2 によると、「組織」を対象とする脅威のうち、「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が6位、「脆弱性対策の公開に伴う悪用増加」が8位に位置付けられています。法的規制の観点からは、自動車に対してはサイバーセキュリティ対策およびソフトウエアアップデートに関する国連規制 UN-R155、UN-R156 の日本国内での適用がすでに始まっており、欧州では全てのデジタル製品にサイバーセキュリティ対策を求める CRA ※3 の施行が目前に迫っています。このように、あらゆる情報機器ベンダーは脆弱性を常に監視し、製品に脆弱性が含まれることが分かった場合は素早く修正を行い、修正したプログラムを適時にリリースすることが求められています。
組込み用途の機器では搭載するプログラムに OS レベルのカスタマイズが加えられていることも多く、脆弱性対応のための修正が影響を与える範囲の確認、修正の適用、ビルド、テスト、リリースに手間と時間がかかるという課題があります。この課題を解決するためには、自動的かつ反復的にビルド、テスト、リリースを行う CI/CD パイプラインを開発プロセスに導入する必要があります。しかし組込み機器は専用のハードウェアを使用することが多いことに加え、入出力ポートを使用したテストなども必要となりテストの自動化が難しいという課題があります。一方で機器の運用期間は長期に渡ることも珍しくなく、脆弱性の監視、対応といったメンテナンスを長期に渡り継続して行う必要があります。
※ 1 CI/CD パイプライン
Continuous Integration / Continuous Delivery パイプライン。ソフトウェアの修正、ビルド、テスト、パッケージング、リリースといった一連の工程を高速かつ反復的に行うために自動化されたプロセスパイプライン、およびそのための仕組みのこと。
※2 情報セキュリティ10大脅威
「情報セキュリティ10大脅威 2023」(独立行政法人 情報処理推進機構)
※3 CRA : Cyber Resilience Act
欧州サイバーレジリエンス法案。デジタル要素を備えた全ての製品に対し、サイバーセキュリティおよびソフトウェアサプライチェーンセキュリティへの対応を求めている。
2022年に草案が出され、2023年後半に発行、2025年後半の適用が予定されている。
サイバートラストの EMLinux + DTSインサイトの CI/CD ソリューション
これら組込み機器の課題への回答として、サイバートラストは組込み・IoT機器向け Linux ディストリビューション「EMLinux」を提供しています。EMLinux は1ヶ月という短いサイクルでのアップデートリリースを、最長10年間提供します。これにより、適時、かつ長期にわたって OS に含まれる脆弱性への対応を行うことができます。
組込み機器ベンダーでは EMLinux を用いてアプリケーションを開発し、全体を組込み機器のファームウェアとします。DTSインサイトの CI/CD ソリューションは、ファームウェアのソースコード修正などをトリガとして、ビルド、テストを自動的に実行します。JTAG ICE、テストのための通信や信号生成といったプロダクトを持つ DTSインサイトがそれら製品とノウハウを CI/CD パイプラインに適用することで、実機でのテストを含む CI/CD パイプラインが組込み機器に対しても実現可能となります。
OSS とセキュリティをその DNA とするサイバートラストは、それらに対する知見と技術力でソフトウェアおよびソフトウェアサプライチェーンのセキュリティ向上を実現し、お客様へ EMLinux として提供いたします。EMLinux を使用する開発に DTSインサイトの CI/CD ソリューションを導入することで、組込み機器に対しても素早い脆弱性やバグへの対応が可能となり、かつ長期にわたり安全な機器を最終ユーザーに提供することができます。
EMLinux の主な特長
-
サイバートラストが開発・提供する組込み/IoT機器向け Linux ディストリビューションおよび開発環境
-
お客様機器製品のライフサイクル全体にわたりセキュアな状態を継続的に保てるよう、サブスクリプションの形態で各種サポートを提供
-
1ヶ月周期 [*] でのメンテナンスアップデートを提供 (*初期および中期フェーズ)
-
最長10年間のサポート
-
IEC 62443-4 準拠のためのリファレンス構成とガイドラインを提供
-
産業用途で広く使われる SoC および評価ボードをサポート
-
Webベースのカスタマーサポートポータルと高度な組込みLinux専門技術を持つサポートエンジニアによる日本語での問合せ対応
DTSインサイト CI/CD ソリューションの主な特長
-
組込み機器開発向けの強力な CI/CD 基盤
-
評価ボードや製品ボードを用いたテスト自動化に向けたライブラリを提供
-
DTSインサイトが開発・提供するJTAG ICEデバッガとの連携により、手動操作が必要となるテストやデグレートチェックの自動化を実現
-
お客様のセキュリティポリシーに合わせ、クラウド / オンプレどちらでも構築可能
-
お客様の使い慣れたツールとの連携も受託開発により対応可能
本お知らせに関するお問い合わせ
サイバートラスト株式会社
メール: press@cybertrust.co.jp