NEC、実行ファイルの静的解析でソフトの脆弱性を検出する技術を開発

　日本電気株式会社（以下、NEC）は7日、企業や組織のサプライチェーンのセキュリティ強化に向け、ソフトウェアに潜む脆弱性を、ソースコードを用いることなく実行ファイルのバイナリコードから検出する技術を開発したと発表した。同技術により、これまで専門家による対応が必要となっていた、ソースコードを利用できないソフトウェアの静的解析による検査について、その一部を自動化し、検査効率を40％向上するとしている。

　NECは、あらゆる業界でサプライチェーンが拡大・複雑化している中、サプライチェーン内で混入した脆弱性や不正機能を狙ったサイバー攻撃への懸念が高まっており、サプライチェーンを通じたソフトウェアの安全性担保が喫緊の課題となっていると説明。NECでは、セキュリティスペシャリストが顧客のソフトウェアやシステムのセキュリティリスクを、ビジネスへの影響を考慮しながら評価するリスクハンティングサービスを提供しており、今回開発した技術はこのサービスを強化するものだとしている。

　一般的なソフトウェアの静的解析技術がソースコードを対象とするのに対し、開発した技術では、ソフトウェアの実行形式であるバイナリコードに対して静的解析を行う。特に、外部から入力されたデータがソフトウェア内のどの処理で使われているかを追跡し、コマンド実行処理など機微な処理の制御に用いられている場合に、バックドアの疑いのある不審な実装として検出する。

技術の処理イメージ

　従来、ソフトウェアによってはソースコードが入手できないことがあり、その場合には専門家が人手で検査を行うなど、ソフトウェアの安全性を確認する手段が限られていた。開発した技術はバイナリコードに対して検査ができるため、ソースコードのないソフトウェアでも安全性を検査できる。

　また、自社開発のソフトウェアなどソースコードが入手可能な場合でも、ビルド時に混入する脆弱性や、不正機能は検出が難しいという課題があった。開発した技術は、ビルド後のバイナリコードを検査するため、ビルド環境に起因する問題を含めて安全性の検査が可能となる。

　また、開発した技術は、検査業務の一部を自動化するため属人性が排除でき、一定の検査品質を担保することが可能。自社システムの安全性を、監督官庁や株主などの第三者に対して根拠をもって説明可能になるとしている。

　NECは、2024年度内に技術をリスクハンティングサービスに適用することを目指す。これにより、サプライチェーンの中で調達・納品されるソフトウェアの安全性検査を強化し、より安全・安心なシステムの構築とサプライチェーンセキュリティの強化に貢献するとしている。