DXやグローバル化の進展により、あらゆる業界でサプライチェーン(供給網)が拡大ないし複雑化している。昨今、そこに混入した脆弱性や不正機能を狙ったサイバー攻撃への懸念が高まっている。サプライチェーンを通じたソフトウェアの安全性担保が喫緊の課題だ。
とりわけ行政機関や重要インフラ事業者においては、法改正等に伴い、製品やシステムの調達・導入時にバックドア等の不正機能の混入を防ぐための対策が求められているという。NECは、企業や組織のサプライチェーンのセキュリティ強化に向け、ソフトウェアに潜む脆弱性を、ソースコード(一般的な静的解析対象)を用いることなく実行ファイルのバイナリコード(0/1の演算処理実体データ)から検出する技術を開発した。
外部から入力されたデータがソフトウェア内のどの処理で使われているかを追跡し、コマンド実行処理など機微な処理の制御に用いられている場合に、バックドアの疑いのある不審な実装として検出する。ソースコードを利用できないソフトウェアの静的解析による検査について、その一部を自動化し、検査効率を40%向上する。同技術は、ソースコードのないソフトウェアでも安全性を検査することが可能となる。
自社開発ソフトなどソースコードが入手可能な場合でも、ビルド(コード変換・実行ファイル生成)時に混入する脆弱性や不正機能は検出が難しい。けれどもこれはビルド後の2進数データを検査するため、ビルド環境に起因する問題を含めて安全性の検査ができる。新技術はビルド環境汚染の懸念に対応し、検査品質の均一化も可能にするという。
同社は同技術を2024年度内に、セキュリティスペシャリストによるリスクハンティングサービスに適用することを目指す。そして、供給網の中で調達・納品されるソフトウェアの安全性検査を強化し、より安全・安心なシステムの構築とサプライチェーンセキュリティの強化に貢献する考えだ。