NEC、実行ファイルの静的解析によるソフトウェアの脆弱性検知技術でサプライチェーンのセキュリティを強化

東京、7年2024月XNUMX日 – (JCN Newswire) – NECコーポレーション 株式会社東証6701は、ソー​​スコードを使わずに実行ファイルのバイナリコード(1)からソフトウェアの脆弱性を検出し、サプライチェーンのセキュリティを強化する技術を開発しました。この技術は、これまで専門家が行う必要があったソースコードが公開されていないソフトウェアの静的解析の一部を自動化し、静的解析時間を40％削減します。

経歴

近年、デジタルトランスフォーメーション（DX）やグローバル化により、あらゆる業界のサプライチェーンが拡大・複雑化しています。このような状況の中、サプライチェーンにおける脆弱性を狙ったサイバー攻撃や悪意のある機能の導入への懸念が高まっており、サプライチェーン全体でのソフトウェアの安全性の確保が喫緊の課題となっています。特に、政府機関や重要インフラ事業者は、法規制の改正に伴い、製品やシステムを調達・導入する際に、製品やシステムにバックドアなどの悪意のある機能が導入されないよう対策を講じることが求められます。今回開発した技術は、そのセキュリティを強化するものです。セキュリティ専門家(*2)がお客様のビジネスへの影響を考慮しながら、お客様のソフトウェアやシステムのセキュリティリスク評価を行うNECのリスクハンティングサービス(3)。

テクノロジーの概要

一般的なソフトウェアの静的解析手法はソースコードを対象としていますが、本手法はソフトウェアの実行形式であるバイナリコードを静的解析します。特に、ソフトウェア内のどのプロセスが外部データを使用しているかを追跡し、コマンド実行などの機密プロセスの制御に影響を与える可能性のあるバックドアである可能性のある不審な実装を検出します。

技術の特徴

1. ソースコードのないソフトウェアも検査可能

従来はソフトウェアによってはソースコードが公開されておらず、その場合は専門家による手動検査などソフトウェアの安全性を確認する手段が限られていました。この技術はバイナリコードを検査できるため、ソースコードが公開されていないソフトウェアの安全性を検査することが可能です。

2. 建築環境（※4）汚染への懸念に対応

これまでは、社内で開発したソフトウェアなど、ソースコードが入手できたとしても、ビルドプロセス中に導入された脆弱性や悪意のある機能を検出することは困難でした。本技術はバイナリコードをビルド後に検査するため、ビルド環境による問題も含めた安全性を検査することが可能です。

3. 検査品質の均一化が可能

これまでは、特にバイナリ形式のソフトウェアの検査が難しく、検査者のスキルによって検査品質がばらつく傾向がありました。この技術により、検査工程の一部を自動化することで人員を削減し、一定の検査品質を確保することができます。また、規制当局や株主などの第三者に対して自社システムの安全性を証拠を示して説明することも可能になります。さらに、検査の一部を自動化することで静的解析にかかる時間を40％削減できる見込みで、NECは2024年度末までにリスクハンティングサービスへの適用を目指す。これにより、サプライチェーンで調達・納品されるソフトウェアの安全性検査が強化され、より安全・安心なシステムの構築とサプライチェーンのセキュリティ強化に貢献します。

(1) コンピュータが直接処理できるように、0 と 1 の XNUMX 進数のみで表現されたデータ。
(2) リスクハンティングサービス（日本語のみ）https://jpn.nec.com/cybersecurity/service/professional/risk_hunting/index.html
(3) セキュリティ専門家（日本語のみ）https://jpn.nec.com/cybersecurity/advantage/specialist/profile2-2.html
(4) プログラミング言語で記述されたソースコードを変換し、バイナリコードで記述された実行ファイルを生成する環境。

NEC株式会社について

日本電気株式会社は、「より明るい世界のオーケストレーション」というブランドステートメントを推進しながら、ITとネットワーク技術の統合におけるリーダーとしての地位を確立しています。 NECは、安全、セキュリティ、公平性、効率性という社会的価値を提供し、誰もが最大限の可能性を発揮できるより持続可能な世界を促進することで、企業やコミュニティが社会と市場の両方で起こっている急速な変化に適応できるようにします。 詳細については、NECをご覧ください。 https://www.nec.com.

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.jcnnewswire.com/pressrelease/88888/3/