NRIセキュア、バックドアに特化してセキュリティ上の問題点を洗い出すソースコード診断「Liteプラン」

　NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は9日、ソフトウェアのソースコードを診断し、セキュリティ上の問題点を網羅的に洗い出す「ソースコード診断」サービスのラインアップに、バックドア検査の観点を中心として診断項目を絞り込んだ軽量版「Liteプラン」を新たに追加すると発表した。

　「Liteプラン」は、従来のソースコード診断サービスではオプションとして提供していた、バックドア検査の項目に特化して診断を行うプラン。NRIセキュアが持つ、診断に関する長年のノウハウを生かしてメニュー化されたもので、国際的なセキュリティ関連資格を保有するNRIセキュアの専門家が、企業から診断対象のソースコードを受け取り、ツールによる診断と手動診断の2つの方法で、バックドアおよび、それに付随する脆弱性の有無を診断するという。

　従来のソースコード診断に比べて診断項目が少ないため、短期間で効率的な検査が可能な点も特徴。また、検査の結果判明したセキュリティ上のリスクの対策優先順位を判断し（トリアージ）、診断結果と推奨対策を報告する。

　なお、攻撃者がバックドアを動作させる際には、バックドアへ到達するための入力箇所（入力ソース）、入力がバックドアを動作させる条件に一致するかを判定する動作（トリガー）、バックドアとして振る舞う機能（ペイロード）、攻撃者があらゆる操作が可能な最高権限（特権状態）、といった4つの要素が挙げられるという。これらを踏まえて、「Liteプラン」のバックドア検査では、「特別な入力値」「隠しコマンド実行機能」「過度な権限付与」など6つの観点で調査し、バックドアの有無を診断するとした。

　NRIセキュアによれば、経済安全保障推進法の施行により、企業には、委託先を含めたソフトウェアサプライチェーン全体のセキュリティ対策が今まで以上に求められるようになっており、その対策の1つとして、企業が開発を委託したソフトウェアにおいても、その安全性を担保するため、バックドア検査の需要が高まっているとのこと。

　同社ではこうした背景から「Liteプラン」をメニュー化。これをはじめとするさまざまな製品・サービスの提供を通じて、企業のソフトウェアサプライチェーンにおける、セキュリティ対策の強化を支援していくとしている。