ニュースリリース - 2017年8月10日

シノプシスのファジング・レポートにより、IoTならびに工業管理システム向けソフトウェアが最も脆弱性が危惧される実態が明らかに

48億を越すファジング・テスト結果の分析により、最も完成度の低い通信プロトコルの場合、最初の障害発生までの平均時間は6.6秒と判明

2017年8月9日 カリフォルニア州マウンテンビュー発 - シノプシス（Synopsys, Inc.、Nasdaq上場コード:SNPS）は本日、ファジング・レポートを公表した。これにより、自動車/フィナンシャル・サービス/政府関係/医療/工業管理システム/IoTの主要6業界で使用されているオープンソース・プロトコルならびにコモン・ファイルフォーマットに潜むゼロデイ・バグに関する深刻な分析結果が明らかとなった。シノプシスのDefensics^® Fuzz Testing solutionを使用している顧客企業が実施した総計48億以上のファジング・テストを分析した結果である。レポート（Synopsys State of Fuzzing 2017）の全容は、下記より入手可能となっている。

https://www.synopsys.com/software-integrity/resources/analyst-reports/state-of-fuzz-testing-2017.html

シノプシス　ソフトウェア・インテグリティ・グループ　ジェネラル・マネージャー兼上級副社長　Andreas Kuehlmannは、次のように述べている。「ファジング・テストはシノプシスのソフトウェア・インテグリティ・プラットフォームの中でも非常に強力なソリューションであり、企業/団体がゼロデイ・バグを発見し、ソフトウェアを守るのを支援しています。弊社のファジング・テスト・ソリューションを実行した顧客企業から寄せられた膨大な情報を分析したところ、発見が困難な未知の脆弱性の実態が明らかとなりました。企業/団体のセキュリティ部門は、ソフトウェアのクオリティとセキュリティを向上させる取り組みを強化する必要に迫られています」 
 

Synopsys State of Fuzzing 2017レポートの注目すべき結果は下記の通りである。

• テスト開始後～最初の障害発生までの全体的な平均時間は1.4時間となった。完成度の高い通信プロトコルの場合は数時間かかったが、完成度の低いプロトコルではわずか数秒であり、弱点に付け込まれる可能性が高いことが明らかとなった。

• 2016年にテストされたものの中で最も完成度が低かったプロトコルは、IEC-61850 MMS（ICS）である。これはIoT機器や工業管理システムで使用されているニッチなプロトコルであるが、最初の障害発生までの平均時間は6.6秒である。 

• 2016年にテストされたものの中で最も完成度が高かったプロトコルは、TLS client（Core IP）である。これは、ネット・バンキングやEコマースなど高い安全性が求められるweb閲覧環境で一般的に用いられている。最初の障害発生までの平均時間は9時間である。 
   

直近のForrester Researchレポートによると「セキュリティ専門家は、Webアプリケーションに対しては長年にわたってファジング・テストやアプリケーション・ハードニング・ツールを適用してきたが、IoTアプリケーションに関しては端緒についたばかりである。この分野では、DAST（Dynamic Application Security Testing）のような既存のテスト手法に依存しているため対策が遅れており、モバイル・アプリケーションと同様に不正改ざんの脅威にさらされている。IoTアプリケーションの普及速度を考えると、ファジング・テストやアプリケーション・ハードニング・ツールの適用が望まれる」^*

* Forrester Research, Inc., 2017年7月6日発行 “TechRadar™: Application Security, Q3 2017”より抜粋 
 

シノプシスのファジング・テスト・ツール Defensicsは、悪名高いHeartbleedバグの発見に用いられた。このOpenSSLの脆弱性については、2年以上の間報告されてこなかったため、50万以上のWebサイトに影響が出た。Defensicsにより、ソフトウェアに潜む未知の脆弱性を検出し、250以上にのぼるネットワーク・プロトコル、ファイル・フォーマット、インターフェイス向けの最先端テスト・スイートを用いてソフトウェアのセキュリティ・レベルを向上させることができる。悪質な未知の脆弱性の検出にとどまらず、修正手法の専門的なアドバイスも提供するため、企業/団体では、事業運営に不可欠なソフトウェアを将来も使い続けるための対処が可能となる。シノプシス・ソフトウェア・セキュリティ・ツールの詳細はhttps://www.synopsys.com/software-integrity.htmlより入手可能である。 
 

シノプシス・ソフトウェア・インテグリティ・プラットフォームについて

シノプシスは、ソフトウェア開発ライフサイクルとサプライチェーンにインテグリティ（セキュリティとクオリティ）を確立するための業界で最も包括的なソリューションを提供している。このソフトウェア・インテグリティ・プラットフォームは、シノプシスが業界をリードするテスト・テクノロジ、解析自動化テクノロジ、そして強靭なツール群やサービスを提供するエキスパートの所産である。これによりソフトウェア開発企業/団体は、開発工程の早期段階でソフトウェアの欠陥や脆弱性を検知/修正し、開発リスクを最小化、開発効率を最大化するための独自の対策を構築することが可能となる。シノプシスは、アプリケーション・セキュリティ・テスト（AST）のリーディング・カンパニーとして高い評価を受けており、IoT、DevOps、CI/CD、クラウドといった新しいテクノロジやトレンドでベスト・プラクティスの実践を可能にする独自のポジションを確立している。

詳細情報は、https://www.synopsys.com/software-integrity.htmlより入手可能。 
 

シノプシスについて

Synopsys, Inc.（Nasdaq上場コード:SNPS）は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域（Silicon to Software）をカバーするソリューションを提供している。電子設計自動化（EDA）ソリューションならびに半導体設計資産（IP）のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ・ソリューションの分野でも業界をリードしており、世界第15位のソフトウェア・カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC（system-on-chip）設計者、最高レベルの品質とセキュリティが要求されるアプリケーション・ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。

詳細情報は、https://www.synopsys.com/ja-jpより入手可能。