NECは、企業や組織のサプライチェーンのセキュリティ強化に向け、ソフトウェアに潜む脆弱性をソースコードを用いることなく実行ファイルのバイナリコードから検出する技術を開発したことを2月7日に発表した。
同技術は、ビジネスへの影響を考慮しながらセキュリティリスクを評価するリスクハンティングサービスを強化するものとして開発された。これまで専門家による対応が必要となっていたソースコードを利用できないソフトウェアの静的解析による検査について、その一部を自動化し、検査効率を40%向上が可能となる。
一般的なソフトウェアの静的解析技術がソースコードを対象とするのに対し、本技術では、ソフトウェアの実行形式であるバイナリコードに対して静的解析を行う。特に、外部から入力されたデータがソフトウェア内のどの処理で使われているかを追跡し、コマンド実行処理など機微な処理の制御に用いられている場合に、バックドアの疑いのある不審な実装として検出する。
同社は、2024年度内にこの技術をリスクハンティングサービスに適用することを目指している。これにより、サプライチェーンの中で調達・納品されるソフトウェアの安全性検査を強化し、より安全・安心なシステムの構築とサプライチェーンセキュリティの強化に貢献していくとしている。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
