SUBARU、IssueHuntで脆弱性報告窓口を整備　外部知見の活用で車両の安全性強化

　SUBARUは、提供する製品やサービスの信頼性向上を目的に、脆弱性報告窓口設置ツール「IssueHunt VDP」を採用した。1月19日、脆弱性管理ソリューションを提供するIssueHuntが発表した。外部の専門家やセキュリティ研究者から脆弱性情報の報告を受け付ける窓口を整備することで、より包括的なセキュリティ体制の構築を図る。将来的な国際的法規制への対応を見据え、コネクテッドカー時代のサイバー攻撃リスクに対する防御力を高める考えだ。

　自動車業界では、車両のネットワーク接続が進むコネクテッドカーの普及に伴い、サイバー攻撃や情報漏洩のリスクが急速に高まっている。大手自動車メーカーにとってセキュリティ対策は最優先課題の一つとなっており、SUBARUでも従来から社内での監視や定期的な脆弱性診断を実施してきた。しかし、攻撃手法が高度化・多様化する中で、自社リソースのみによる対応範囲には限界があると感じていた。また、グローバル市場における法規制において、脆弱性報告窓口（VDP）の設置が要件化される動きが加速しており、早急な対応基盤の整備が求められていた。

　こうした背景から、同社は脆弱性報告窓口の開設を決定し、その支援ツールとしてIssueHunt VDPを選定した。採用にあたっては、日本語対応による運用性の高さを評価したとしている。日本語のインターフェースやサポート体制が整っていることで、社内の運用担当者が使いやすいだけでなく、報告者とのやり取りにおいても言語の壁による誤解や対応の遅延を防止できる点を重視した。さらに、将来的に脆弱性の発見者に報酬を支払う「バグバウンティ」の導入を見据えた際、段階的なアプローチが可能であることも決め手となった。

　今回の導入により、SUBARUは外部の知見を柔軟に取り込める環境を整えた。社外の善意ある専門家から提供される情報を活用することで、社内診断だけでは発見が困難だった潜在的な脆弱性を早期に把握し、製品やサービスの安全性を継続的に向上させることが可能となる。また、国際的な規制要件にも柔軟に対応できる基盤を構築したことで、事業継続性の確保とブランドの信頼性向上につなげている。

　SUBARU IT戦略本部サイバーセキュリティ部部長の須藤健志氏は、サイバー攻撃リスクの増加により、従来の社内監視や脆弱性診断だけでは対応できる範囲に限界があると感じていたと振り返る。グローバルな法規制において脆弱性報告窓口の設置が要件化される動きがあり、早急な対応が必要だった。外部の知見を活用し脆弱性報告を受け付けることで、より包括的なセキュリティ体制の構築に繋がり、提供する製品やサービスの信頼性を高めることができると考えていると述べている。

　今後、SUBARUはIssueHunt VDPの運用を通じて、社外のセキュリティコミュニティとの連携を強化する方針だ。得られた観測データや知見を社内の開発プロセスへフィードバックすることで、セキュアなものづくりの精度をさらに高めていく。製造業における新しいセキュリティの形を追求し、安心で安全なモビリティ社会を支える基盤を盤石にするとしている。

ニュースリリース