2023年が開けて間もなく、日米政府がサイバー防衛において連携し、ソフトウェアに関する安全基準の覚書を取り交わすというニュースが報道されました。記事によりますと、政府が調達するソフトウェアについて、ソフトウェアを構成するプログラムのリストであるSBOMの提供や、セキュリティに関する分析、継続的な対策を要求するものになるといいます。この基準は政府調達ソフトウェアを対象としていますが、こうした考え方は今後民生品にも波及し、サイバーセキュリティ要求の水準を引き上げていくでしょう。SBOMの管理などは自動車業界においても重要な取り組みであり、こうした土台となる仕組みを早い段階で固めていくことが、今後サイバーセキュリティ要求に対応していく際の必要条件となってきそうです。
さて、以前のメルマガでISO/AWI 24089の概要として、規格の構成と、他規格との関係をご紹介しました(図1, 2)。この度、本規格の概要をいち早く把握されたい方向けに「ISO/DIS 24089 ソフトウェアアップデート概論トレーニング」の提供を開始いたしますので、今回のメルマガではトレーニングで扱う内容の一部をご紹介したいと思います。
図 1 ISO/DIS 24089の構成
図 2 ソフトウェアアップデート規格と、関連規格との関係
ここからは、トレーニング内容の一部として、ISO/DIS 24089の第8節において要求されている「ソフトウェアアップデートパッケージ」に焦点を当てて内容をご紹介いたします。ソフトウェアアップデートパッケージという言葉はあまり耳なじみがなく、全く新しい概念を含んでいると想像される方も多いかもしれません。ソフトウェアアップデートパッケージとは、車両においてソフトウェアを更新するために必要な一連の配信情報をひとまとめにしたものです。では、規格の中で要求されている要素を見てみましょう(図3)。
図 3 ソフトウェアアップデートパッケージの要素
ソフトウェアアップデートパッケージを構成する要素は大きく3つに分類されます。まずはソフトウェアアップデートパッケージを特定するためのパッケージID、次にソフトウェアアップデートパッケージの本体とも言えるアップデート用ソフトウェア、最後に一連のメタデータです。メタデータとは、「データについてのデータ」といった意味合いの言葉で、この場合はアップデート用ソフトウェアやアップデート作業、アップデート対象などについての情報を意味しています。メタデータの例としては、アップデート用ソフトウェアのバージョン情報、安全に書き換えを実施するための条件や、ソフトウェアやECUに関する互換性情報などが含まれます。アップデートの実施のためにどういったメタデータが必要になるかは、アップデートの手法やシステム構成などによって変わります。
ソフトウェアアップデートパッケージ内容を見ていただくと、これまでサービスディーラでの書き換え向けに作成していたものと大きく変わらないという印象を持たれたのではないでしょうか。ISO/DIS 24089は、無線によるソフトウェア書き換えを想定した規格ではありますが、従来の有線書き換えで必要とされてきた内容がその基礎を構成しています。ISO/DIS 24089の要求に効率よく適切に対応していくためには、どの要求が従来の仕組みで対応できて、どの要求が新たな対応を必要としているのかを見極めることが第一歩となります。
今回はソフトウェアアップデートパッケージについてご紹介いたしましたが、「ISO/DIS 24089 ソフトウェアアップデート概論トレーニング」においては、具体的な要求事項を扱う第4節から第9節の概要について、8節「ソフトウェアアップデートパッケージ」を例にお伝えしたように、従来の有線アップデートから変わらない点、無線アップデートによって変えなければならない点についてご説明します。また、Automotive SPICEや車載サイバーセキュリティのISO/SAE 21434といった他規格との関係についてもお伝えしていきます。ご興味を持たれた方はこちらからトレーニングへのお申込みをお願いいたします。
2023/2/1 大野 貴正
[トレーニングのお申込み]
ISO/DIS 24089 ソフトウェアアップデート概論トレーニング:https://biz3.co.jp/publictraining/4834
[以前のメルマガ]
車載ソフトウェアアップデート規格ISO/AWI 24089のご紹介:https://biz3.co.jp/download/4610