JRCモビリティ、欧州無線機器指令への適合を加速　脆弱性検証工数を最大80％削減

　JRCモビリティは、欧州の無線機器指令（欧州RED）および整合規格「EN18031」への迅速な適合を目的に、VicOneの自動車向けSBOM生成・脆弱性管理ツール「xZETA」を採用した。12月23日、自動車向けサイバーセキュリティを手掛けるVicOneが発表した。同ツールの活用により、膨大な脆弱性情報の抽出・評価プロセスを自動化し、検証工数を従来の手作業と比べて70〜80％削減することに成功。タイトなスケジュールの中で法令への適合を達成し、欧州市場における事業継続性を確保した。

　JRCモビリティは無線技術を核に、ETC製品や位置情報端末、レーダー製品、通信インフラ機器など、多岐にわたるモビリティ関連ソリューションを展開している。特に車載製品の品質や卓越した技術力、顧客独自の仕様に応えるカスタム対応力を強みとしており、国内外の自動車メーカーや鉄道事業者など幅広い領域に製品を提供している。

　今回のプロジェクトの背景には、2025年8月1日に施行された欧州REDへの対応があった。同法令ではソフトウェア更新機能の安全性確保や脆弱性管理の実装が求められており、欧州市場でビジネスを継続するためには期限内での適合が不可欠だった。しかし、同社には過去にソフトウェアの脆弱性検証を行った実績がなく、要件確認を手探りで進める必要があった。膨大な脆弱性情報からリスクのあるものを選別するフィルタリング作業や対応方針の決定は、従来の手作業では工数と品質の両面で限界があり、確実な対応を支えるツールの導入が急務となっていた。

　JRCモビリティは複数のベンダーを比較検討した結果、xZETAの採用を決定した。選定にあたっては、車載ソフトウェア特有の構成に対応したSBOM（ソフトウェア部品表）生成機能に加え、VicOneの迅速かつ柔軟な対応力を高く評価した。

　VicOneは、自動車業界向けのサイバーセキュリティに特化した、トレンドマイクロ子会社のセキュリティベンダー。日本拠点による日本語での手厚い技術支援体制があり、脆弱性の判断基準やフィルタリングに関する専門的な知見の提供を受けられる点が、採用の決め手になった。また、将来的に施行が見込まれる欧州サイバーレジリエンス法（CRA）では、継続的な脆弱性監視が義務化されるため、今後の規制強化にも耐えうる基盤としての将来性も評価のポイントとなった。

　xZETAの導入により、脆弱性検証プロセスは大幅に効率化された。製品に使用されるオープンソースソフトウェア（OSS）を高精度に可視化し、SBOMに基づく脆弱性抽出を自動化したことで、脆弱性の抽出・評価にかかる工数は従来比で70〜80％削減されたと試算している。この大幅な省力化により、極めてタイトなスケジュールの中で法令適合を達成した。これまで手作業では困難だった網羅的かつ再現性のある管理体制が整ったことで、各国の法令で求められる情報公開義務への対応に向けたセキュリティ基盤が構築されている。

　今後は、欧州だけでなく日本や米国での法制化も見据え、開発する全ての製品においてセキュリティを前提とした設計を標準化していく方針だ。組織的な対応力を高めるため、製品セキュリティへのインシデント対応チームであるPSIRTの整備も進めている。

　JRCモビリティコネクテッド事業部の金澤幸司氏は、特定の市場向けだけでなく全製品でのセキュリティ設計が必須になると認識している。VicOneにはツールの提供にとどまらず、専門家として脆弱性への具体的な対処法などの教育コンテンツの提供も期待しており、ツールと教育の両面での支援によって相乗効果が生まれることを目指したいとしている。

ニュースリリース