自動車やIoTデバイスのセキュリティ脅威を未然に防ぐ
バイナリベース脆弱性診断ツール「VCode」、自律型セキュリティプラットフォーム「XGuard」販売開始 ~サプライチェーンリスクの可視化からハッキングの監視・対策まで~
News Release
株式会社東陽テクニカ(本社:東京都中央区、代表取締役社長:高野 俊也、以下 東陽テクニカ)は、サイバーセキュリティ対策ソリューションのリーディングメーカーであるKaramba Security Ltd.(本社:イスラエル・ホド ハシャロン、以下Karamba社)と販売代理店契約を締結し、2023年1月24日に、バイナリベース脆弱性診断ツール「VCode」および自律型セキュリティプラットフォーム「XGuard」の販売を開始いたします。
「VCode」はバイナリ(実行ファイル)ベースで脆弱性診断を行い、組込みソフトウェアのセキュリティ上のリスクを可視化し、脆弱箇所の修正方法を提案します。ソフトウェア部品表(SBOM)の生成・管理機能も備え、準拠の必要性が高まっているサイバーセキュリティ関連標準へのコンプライアンス対応を支援します。「XGuard」は、デバイス上に常駐し、マルウェアの存在を検知すると自動で実行を阻止する組込み型エージェントと、バックエンドでのセキュリティインシデントのモニタリングおよび情報収集・分析機能を兼ね備えています。拡大するIoTデバイスの利用に対し、サプライチェーンリスクの可視化からハッキングの監視・対策までを網羅します。
製品ライフサイクルに対する「VCode」 および「XGuard」の位置づけ
背景/概要
IoT社会の発展に伴い増加するサイバーセキュリティ脅威
昨今、インターネットに接続されるIoTデバイスの種類が、従来のパソコンやスマートフォンなどの情報端末にとどまらず、自動車や家電、医療機器から住宅やオフィス、工場設備まで、あらゆるモノに拡大しており、世界のIoTデバイスの数は2024年には398億台にも上ると予測されています※1。
IoT社会の到来で利便性の向上が期待される一方、IoTデバイスがサイバー攻撃の新たな標的として利用されるケースが増加傾向にあり、そのセキュリティ対策の課題として、ソフトウェアサプライチェーンの複雑化やオープンソースソフトウェア(OSS)利用の増加などがあります。OSS利用にはさまざまなメリットがあるものの、脆弱性の混入やライセンス条件などの見落としによるトラブルも存在します。この傾向はサプライチェーンでは特に顕著で、脆弱性を狙ったサイバー攻撃への対処やライセンスに関わるリスク対策として、ソフトウェア部品表(SBOM)の管理の必要性が高まっています。SBOMは自動車業界で準拠が求められる車両サイバーセキュリティ標準(ISO/SAE 21434やUN-R155)へのコンプライアンス対応においても、有効と見られています。
SBOM生成も可能なバイナリベース脆弱性診断ツール「VCode」と、デバイスのハッキング対策やインシデント管理に自動で対応する自律型セキュリティプラットフォーム「XGuard」
バイナリベース脆弱性診断ツール「VCode」は、ビルド後に解析を実施するため、システム全体でセキュリティリスクを診断し、脆弱性を洗い出すことができます。また、SBOMの生成により、各種サイバーセキュリティ標準への対応に加え、ソフトウェアの構成要素(サードパーティー製のライブラリやOSSに関連する情報を含む)を一覧化し、ソフトウェアの透明性と完全性を確実なものとすることで、サプライチェーンセキュリティの確保に貢献します。
自律型セキュリティプラットフォーム「XGuard」は、製品の運用フェーズでのハッキング対策やインシデント管理を支援します。IoTデバイスに「XGuard」のエージェントを組み込むだけで、製品パフォーマンスを損なうことなく、自動でマルウェアを検知し、その実行を阻止します。さらに、Karamba社が特許を持つ、組込みシステムのメモリフロー検証に特化した独自の制御フローの整合性(CFI)メカニズムにより、メモリアクセス異常を常時監視し、バッファオーバーフローなどの脆弱性を狙った攻撃からシステムを自動的に防御します。エージェントが自律的にサイバー攻撃からデバイスを防御する間、バックエンドではシステム全体の動作やアクセスを監視し、異常を検知するとアラートを発します。さらに、サイバー攻撃の可能性がある異常をすべて記録し、機械学習を用いてデータ分析した結果をユーザーに提供することで、異常動作の根本原因の究明やインシデント管理の負荷を削減します。
東陽テクニカは、Karamba社製品の提供を通じて、自動車やIoTデバイスの製品ライフサイクルにおけるセキュリティおよびコンプライアンス対応のためのソリューションを拡充することで、今後も、誰もが安心してメリットを享受できる「つながる社会」の実現に貢献してまいります。
※1 「令和4年 情報通信白書」(総務省)より。
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r04/html/nf3r1000.html#d03r1190
主な特長
バイナリベース脆弱性診断ツール「VCode」
- ソースコードやビルド環境へのアクセスなしで、バイナリからプログラムの解析が可能
- オープンソースコンポーネントも含め、脆弱性の有無を診断し、セキュリティリスクを可視化
- 検知した脆弱性の改善策を、対応の優先度と合わせてコンテキストベースに提案
- セキュリティやコンプライアンス対応のレベルや進捗が一目で分かるレポートやチェックリストを作成
- UN-R155などの各種サイバーセキュリティ標準に対応したSBOMの生成
「VCode」解析結果画面
自律型セキュリティプラットフォーム「XGuard」
- ソースコード不要のバイナリ組込み型エージェント
- エージェント組込みによるパフォーマンスへの影響は最低限(CPU使用率:5%、メモリ消費:5%以下)
- オリジナルのビルドに存在しないコードは全てマルウェアと判断し、実行を阻止
- Karamba社独自の制御フローの整合性(CFI)メカニズムにより、バッファオーバーフローなどの脆弱性を標的とするファイルレス攻撃を自動的にブロック
- セキュリティ脅威となりえる異常な動作やアクセスを自動で監視・情報収集・分析 (機械学習)
XGuard紹介動画:https://www.youtube.com/watch?v=ha9MCUAgZOg
「XGuard」解析結果画面
製品データ
- 製品名 :
- バイナリベース脆弱性診断ツール「VCode」
自律型セキュリティプラットフォーム「XGuard」
- 販売開始日:
- 2023年1月24日
Karamba SecurityLtd.について
Karamba社は、サイバーセキュリティ先進国であるイスラエルで2015年に創業された、コネクテッドシステムの製品ライフサイクルを通じたセキュリティ対策およびサイバーセキュリティ関連標準への準拠をサポートする世界的ソリューションプロバーダーです。自動車やIoTデバイスをはじめとするさまざまなコネクテッドシステムのメーカー、OEM、ティア1サプライヤーを顧客に抱え、サイバーセキュリティ脅威から企業とその製品のユーザーを守ることに貢献しています。
Karamba Security Ltd. Webサイト:https://www.karambasecurity.com/
本件に関するお問い合わせ先
東陽テクニカ ソフトウェア・ソリューション
Tel: 03-3245-1248
Email: ss_sales@toyo.co.jp
「VCode」製品ページ:https://www.toyo.co.jp/ss/products/detail/karamba_vcode
「XGuard」製品ページ:>https://www.toyo.co.jp/ss/products/detail/karamba_xguard
本記事に掲載の計測試験に
ご興味がございましたら
お気軽にお問い合わせください
