NECは2月7日、企業や組織のサプライチェーンのセキュリティを強化するため、ソースコードを使用せずに、実行ファイルのバイナリコードから脆弱性を検出する技術を開発したことを発表した。これにより、ソースコードを利用できないソフトウェアの静的解析による検査の一部を自動化し、検査効率を40%向上するという。
-
技術の処理イメージ
技術の概要
同社では、顧客のソフトウェアやシステムのセキュリティリスクを、セキュリティスペシャリストがビジネスへの影響を考慮しながら評価するリスクハンティングサービスを提供しており、今回開発した技術は同サービスを強化するもの。
ソースコードが入手できない場合、これまで専門家が人手で検査を行うなどソフトウェアの安全性を確認する手段が限られていた。同技術では、バイナリコードに対して検査ができるため、ソースコードのないソフトウェアでも安全性を検査することが可能だという。
また、ソースコードが入手可能な場合でも、ビルド時に混入する脆弱性や不正機能は検出が難しいという課題があったが、同技術はビルド後のバイナリコード(コンピュータによって直接解釈されるプログラミング・データの基本形式)を検査するため、ビルド環境に起因する問題を含めて安全性の検査が可能となる。
さらに、従来はバイナリ形式のソフトウェアの検査が難しく、検査者のスキルによって検査品質がばらつきやすいという問題があったが、同技術は検査業務の一部を自動化するため属人性が排除でき、一定の検査品質を担保することができる。
それに加えて、自社システムの安全性を監督官庁や株主などの第三者に対して根拠を持って説明可能となるという。なお、自動化により、ソフトウェアの静的解析による検査に要する時間を40%短縮できると同社は見込んでいる。
同社は、2024年度内に同技術をリスクハンティングサービスに適用することを目指す。これにより、サプライチェーンの中で調達・納品されるソフトウェアの安全性検査を強化し、より安全で信頼性の高いシステムの構築とサプライチェーンセキュリティの向上を図る方針。
