検査効率を40%向上
NECは2月7日、企業や組織が運営しているサプライチェーンのセキュリティ強化を支援するため、ソフトウェアに潜む脆弱性を、ソースコードを用いずに実行ファイルのバイナリコードから検出できる新技術を開発したと発表した。増加するサイバー攻撃へ対抗できるようにするのが狙い。
同社はこれまで専門家による対応が必要となっていたソースコードを利用できないソフトウェアの静的解析による検査について、その一部を自動化し、検査効率を40%向上できると見込む。
NECでは、システムの脆弱性などに詳しい同社内のスタッフ「セキュリティスペシャリスト」が顧客のソフトウェアやシステムのセキュリティリスクを、ビジネスへの影響を考慮しながら評価する「リスクハンティングサービス」を提供しており、今回開発した技術は同サービスを強化するのが狙い。
一般的なソフトウェアの静的解析技術がソースコードを対象とするのに対し、新技術はソフトウェアの実行形式のバイナリコードに対して静的解析を行う。特に、外部から入力されたデータがソフトウェア内のどの処理で使われているかを追跡し、コマンド実行処理など機微な処理の制御に用いられている場合に、バックドアの疑いのある不審な実装として検出する。
新技術の処理イメージ
NECは、2024年度内に新技術をリスクハンティングサービスに適用することを目指す。実現すればサプライチェーンの中で調達・納品されるソフトウェアの安全性検査を強化し、より安全・安心なシステムの構築とサプライチェーンセキュリティの強化に貢献するとみている。
(藤原秀行)
