2024年2月7日
日本電気株式会社

NECは、企業や組織のサプライチェーンのセキュリティ強化に向け、ソフトウェアに潜む脆弱性を、ソースコードを用いることなく実行ファイルのバイナリコード(注1)から検出する技術を開発しました。本技術により、これまで専門家による対応が必要となっていたソースコードを利用できないソフトウェアの静的解析による検査について、その一部を自動化し、検査効率を40%向上します。

近年、デジタルトランスフォーメーション(DX)やグローバル化の進展により、あらゆる業界でサプライチェーンが拡大・複雑化しています。こうした中、サプライチェーン内で混入した脆弱性や不正機能を狙ったサイバー攻撃への懸念が高まっており、サプライチェーンを通じたソフトウェアの安全性担保が喫緊の課題となっています。とりわけ行政機関や重要インフラ事業者においては、法改正等に伴い、製品やシステムの調達・導入時にバックドア等の不正機能の混入を防ぐための対策が求められています。
NECでは、セキュリティスペシャリスト(注2)がお客様のソフトウェアやシステムのセキュリティリスクを、ビジネスへの影響を考慮しながら評価するリスクハンティングサービス(注3)を提供しており、今回開発した技術はこのサービスを強化するものです。

本技術の概要

一般的なソフトウェアの静的解析技術がソースコードを対象とするのに対し、本技術では、ソフトウェアの実行形式であるバイナリコードに対して静的解析を行います。特に、外部から入力されたデータがソフトウェア内のどの処理で使われているかを追跡し、コマンド実行処理など機微な処理の制御に用いられている場合に、バックドアの疑いのある不審な実装として検出します。

本技術の特長

1. ソースコードのないソフトウェアの検査が可能

従来、ソフトウェアによってはソースコードが入手できないことがあり、その場合、専門家が人手で検査を行うなどソフトウェアの安全性を確認する手段が限られていました。本技術はバイナリコードに対して検査ができるため、ソースコードのないソフトウェアでも安全性を検査することが可能です。

2. ビルド環境(注4)汚染の懸念にも対応可能

従来、自社開発のソフトウェアなどソースコードが入手可能な場合でも、ビルド時に混入する脆弱性や不正機能は検出が難しいという課題がありました。本技術は、ビルド後のバイナリコードを検査するため、ビルド環境に起因する問題を含めて安全性の検査が可能となります。

3. 検査品質の均一化が可能

従来、とりわけバイナリ形式のソフトウェアの検査は難しく、検査者のスキルによって検査品質がばらつきやすいという問題がありました。本技術は、検査業務の一部を自動化するため属人性が排除でき、一定の検査品質を担保することが可能です。また、自社システムの安全性を監督官庁や株主などの第三者に対して根拠をもって説明可能となります。さらに自動化により、ソフトウェアの静的解析による検査に要する時間を40%短縮できる見込みです。

NECは、2024年度内に本技術をリスクハンティングサービスに適用することを目指します。これにより、サプライチェーンの中で調達・納品されるソフトウェアの安全性検査を強化し、より安全・安心なシステムの構築とサプライチェーンセキュリティの強化に貢献します。

以上

本件に関するお客様からのお問い合わせ先

NEC　グローバルイノベーション戦略統括部