バックナンバーはこちら

today&tomorrow

Technology Update

  • T&T HOME
  • Technology Update
  • Protecode SCによるバイナリ解析 サプライチェーンと開発のリスクを管理

2018 vol.110

Protecode SCによるバイナリ解析
サプライチェーンと開発のリスクを管理 サプライチェーンと開発のリスクを管理

Protecode SCによるバイナリ解析

Protecode SCは、ソフトウェア・サプライチェーンのリスク管理に向けた包括的なソフトウェア・コンポジション解析(SCA)ソリューションです。Protecode SCのバイナリ解析をご利用いただくと、サードパーティ・ソフトウェアの購入時や運用中にそのコンポジション(組成)を可視化できます。この結果、購入の意思決定が改善され、複雑なシステムやソフトウェアの運用に伴う継続的なリスクへの対処が可能になります。

現在の市場を取り巻く状況

クリティカルなビジネス・インフラストラクチャの革新性と効率を高めるため、企業はさまざまなサプライヤからシステムやソフトウェアを調達しています。こうした中、先進のテクノロジを必要とする企業は、サードパーティ・コンポーネントを入手するため複雑なソフトウェア・サプライチェーンへの依存を強めています。このようなソフトウェア・サプライチェーンには多くの利点がありますが、セキュリティ面で以下のように多くの課題が存在するのも事実です。

  • ソフトウェアのパッチワーク化:現在のソフトウェアには無償のオープンソース・ソフトウェア(FOSS)、商用オフザシェルフ(COTS)コード、内製コンポーネントなど何らかのサードパーティ・コンポーネントが含まれていると言っても過言ではありません。こうしたサードパーティ・コンポーネントには脆弱性が存在することもよくありますが、調達時にセキュリティが考慮されることはほとんどありません。
  • 責任の所在の不明確化:ソフトウェアやシステムを購入する際、セキュリティと堅牢性は事前に確保されているものと考えがちです。しかしソフトウェア・サプライチェーンを手放しで信用することはリスクを抱え込むことにつながります。
  • 攻撃者にとって格好の標的:脆弱なサードパーティ・ソフトウェアはサプライチェーン全体でセキュリティ攻撃を受けやすいポイントとなり、攻撃者に侵入の糸口を与えることになります。

概要

Protecode SCは、複雑化と細分化が進むソフトウェア・サプライチェーンの課題を解決するバイナリとランタイム・コード解析プラットフォームです。Protecode SC はソフトウェアに存在するサードパーティおよびオープンソースのコンポーネント、既知の脆弱性、ライセンスの種類、その他の潜在的なリスクの問題を短時間で洗い出します。Protecode SCはソース・コードではなくバイナリ・コードを解析するため、デスクトップやモバイル・アプリケーション、組込みシステム・ファームウェアをはじめ、事実上すべてのソフトウェアまたはシステムをスキャンできます。

Protecode SC概要

Protecode SC は強力かつ多機能なだけでなく、直感的なユーザー・インターフェイスと高い操作性にも定評があります。

画像

ダッシュボードにサマリ情報を表示

Protecode SCは、コンポジションの概要およびスキャン済みソフトウェアの全体的な健康状態をダッシュボードで直感的に表示します。このダッシュボードには以下のサマリ情報が表示されます。

  • オープンソース・コンポーネント表(BoM):Protecode SCは検出した各サードパーティ・コンポーネントについて、バージョン、ロケーション、ライセンス取得状況、既知の脆弱性など詳細な情報を提示
  • 脆弱性評価:Protecode SCは先進の独自エンジンを使用して、検出した各脆弱性についてNISTが管理する脆弱性情報データベースNVD(National Vulnerability Database)からCVE(Common Vulnerabilities and Exposures)番号や危険度などの詳細な関連情報を提示
  • オープンソース・ライセンス・レポート

主な機能

Protecode SC はソース・コードがなくてもシステムとソフトウェアを解析できるため、ソフトウェア・サプライチェーン全体でセキュリティ上、脆弱な箇所を短時間で簡単に見つけることができます。

  • ほとんどすべてのソフトウェア、ファームウェアを数分でスキャン。デスクトップやモバイルのアプリケーション、組込みシステム・ファームウェア、仮想アプライアンスなど基本的にすべてのソフトウェアまたはファームウェアの内部を可視化できます。
  • ソース・コード不要。評価したいソフトウェアをアップロードするだけでProtecode SCが数分で完全なバイナリまたはランタイム解析を実行します。このブラックボックス手法は、攻撃者が実際に脆弱性検出に使用するアプローチを踏襲しています。
  • 包括的なBoMを作成。すべてのサードパーティ・ソフトウェア・コンポーネントおよびライセンスを検出してカタログを作成します。
  • リスク・プロファイルの管理。ソフトウェア・コンポーネントに存在する既知の脆弱性およびライセンス違反を検出し、ソフトウェアの健康状態を診断します。テクノロジの利用と調達に関して、現実的な評価指標を用いてデータに基づく意思決定が行えます。
  • 「コード劣化」の問題に事前に対処。過去にスキャン済みのソフトウェアに新たな脆弱性が見つかった場合、自動アラートでお知らせします。
  • 選べる2つのご利用形態。Protecode SCはクラウド型サービスとしても、オンプレミス型アプライアンスとしてもご利用いただけます。

カテゴリートップ