昨今、IoT社会の到来で利便性の向上が期待される一方、IoTデバイスがサイバー攻撃の新たな標的として利用されるケースが増加傾向にある。
セキュリティ対策の課題として、ソフトウェアサプライチェーンの複雑化やオープンソースソフトウェア(OSS)利用の増加などがある。
OSS利用には様々なメリットがあるものの、脆弱性の混入やライセンス条件などの見落としによるトラブルも存在するため、ソフトウェア部品表(SBOM)の管理の必要性が高まっているという。
そうした中、株式会社東陽テクニカは、Karamba Security Ltd.(カランバ・セキュリティ 以下、Karamba)と販売代理店契約を締結し、バイナリベース脆弱性診断ツール「VCode(ヴイコード)」および自律型セキュリティプラットフォーム「XGuard(エックスガード)」の販売を開始する。
「VCode」は、バイナリ(実行ファイル)ベースでオープンソースコンポーネントも含め脆弱性診断を行い、組込みソフトウェアのセキュリティ上のリスクを可視化し、脆弱箇所の修正方法を提案するツールだ。(トップ画)
ビルド後に解析を実施するため、システム全体でセキュリティリスクを診断し、脆弱性を洗い出すことができる。
検知した脆弱性に対しては、改善策を対応の優先度と合わせてコンテキストベースに提案する。また、セキュリティやコンプライアンス対応のレベルや進捗が一目で分かるレポートやチェックリスト作成する。
さらに、ソフトウェア部品表(SBOM)の生成・管理機能を備えており、サイバーセキュリティ関連標準へのコンプライアンス対応を支援する。
「XGuard」は、製品の運用フェーズでのハッキング対策やインシデント管理を支援するプラットフォームだ。
デバイス上に常駐し、マルウェアの存在を検知すると自動で実行を阻止する組込み型エージェントと、バックエンドでのセキュリティインシデントのモニタリングおよび情報収集・分析機能を搭載している。
オリジナルのビルドに存在しないコードは全てマルウェアと判断し、実行を阻止する。
また、Karamba独自の制御フローの整合性(CFI)メカニズムにより、バッファオーバーフローなどの脆弱性を標的とするファイルレス攻撃を自動的にブロックする。
エージェントが自律的にサイバー攻撃からデバイスを防御する間、バックエンドではシステム全体の動作やアクセスを監視し、異常を検知するとアラートを発する。
さらに、セキュリティ脅威となりえる異常な動作やアクセスを自動で監視・情報収集・分析(機械学習)する機能も搭載されている。