ソリトンシステムズは28日、米Refirm Labsのファームウェア脆弱性解析プラットフォーム「Centrifuge」の提供、導入検討企業に対する無償トライアル(7日間、最大3ファームウェア)によるIoTファームウェア脆弱性調査を実施を開始した。サポートOSはLinux、QNX、Android。今後はUEFI(Unified Extensible Firmware Interface)やVxWorksなどへの対応も予定している。
Refirm Labsの「Centrifuge」(セントリフュージ)は、昨年4月にサンフランシスコで開催されたセキュリティカンファレンスRSA Conference USA 2018のInnovation Sandbox Contestのファイナリスト10製品のなかに残ったファームウェア脆弱性自動診断プラットフォーム。元NSA職員でCEO&Co FounderであるTerry Dunlap氏のプロダクツ紹介のムービーは、RSA Conference USA 2018サイト内で閲覧できる。
Centrifugeは、コーディングの要らないドラッグ&ドロップの操作でCVEデータベースによる脆弱性解析を行い、重大度に応じた警告を発するクラウドベースのプラットフォーム。コンパイルされたファームウェア全体をSoftware BOM(Software bill of materials)機能で解析、ソースコードでは見つけにくい脆弱性リスクを診断する。新しいCVE情報が発行されるとアラートを受信するなどCVE情報に基づく継続的監視も可能になる。ライフサイクルに組み込むことで効率的な生産管理も期待できる。
-
Centrifugeの概要
-
システム開発ライフサイクルへの導入例
Refirm Labs社CEO Terry Dunlap氏は「この度、株式会社ソリトンシステムズと提携し、Centrifugeを日本のお客様へ届けることが可能となり大変嬉しく思います。自動運転を始めとするファームウェア脆弱性調査のニーズは高まっており、Centrifugeを活用するゼロデイ脆弱性の発見やバックドアの検出などに役立つ機能を充実させていきたいと考えています。」と述べている。
![Proselfの脆弱性対応に学ぶ、利用者本位の信頼回復プロセス [事故対応アワード受賞]](/techplus/article/20240618-secraward-proself/index_images/index.jpg/iapp)
