July 29, 2021

ソフトウェアコンポジション解析 vs. バイナリ解析 - その違いは？

ソフトウェアコンポジション解析はオープンソースのライセンス・コンプライアンス対応のための手段として生まれたのに対し、バイナリ解析はホワイトハット・ハッカーが組込みシステムのバイナリファイルを分析するためのペネトレーションテストの手段として生まれました。

開発者が自身のプロジェクトを早く進めるためにオープンソースのコードを利用しようと思えば、Google検索で簡単に用途に合うものを見つけ、コピー＆ペーストで流用することができます。ただ、ソフトウェアベンダーがオープンソースを利用する場合、IPの所有権や商用利用の可否の問題なども関わってくるため、ソフトウェアコンポジション解析用ツールのニーズは少なくありません。始まりは、オープンソースのライセンス・コンプライアンスを目的としたソリューションであり、開発者のソースコードやビルドマップファイルにアクセスし、ビルドに含まれている可能性のあるパッケージを調べることで、ライセンス・コンプライアンス上の問題がないか確認するために使用されます。

ソフトウェアコンポジション解析ツールを使うことで、複合的なライセンス分析レポートを生成することができます。サイバー攻撃の増加に伴い、ビルドの構成物に含まれると予想されるパッケージ類に関係するCVEの情報も、このレポートに追加されるようになりました。

一方のバイナリ解析はペネトレーションテスト用ツールとして生まれ、 ホワイトハット・ハッカーがIoTバイナリファイル（当時は「組込みバイナリファイル」と一般的に呼ばれていたもの）を解析して、設定ミスや脆弱性の可能性を検知する目的で主に利用されていました。

IoTデバイスへのサイバー攻撃が激しさを増すにつれ、開発者やセキュリティ担当者の間で専用のツールを求める声が高まりました。

そして、IoT製品の開発・運用におけるセキュリティの専門家たちは、バイナリ解析ツールに目を付けました。これは、バイナリ解析が元々は攻撃者の視点から生み出されており、セキュリティ対応を行ううえでのニーズにもピッタリと合うと考えられたからです。

バイナリ解析ツールは製品セキュリティを担当するエンジニアに、ソースコードのリポジトリだけでなく、製品の最終ビルドに含まれるコンポーネントの正確なリストである、SBOM（ソフトウェア部品表）を提供することで、誤検知の検証の手間を省いてくれます。

さらに、バイナリ解析ツールは攻撃者にデバイスの乗っ取りを許してしまいかねない、深刻な設定ミスなども見つけ出すことができます。このような問題のある設定は、バイナリがビルドされて初めて検知可能になります。

バイナリ解析は特に、最終的なビルドの一部がソースコードではなく、オブジェクト形式で提供される、サプライチェーンにおけるリスク管理に有効です。バイナリ解析を行うことで、開発者はサードパーティー製の（オープンソースとプロプライエタリ両方の）ソフトウェアモジュール内のエラーや設定ミスを早期に発見し、プロジェクトのタイムラインに影響を与えることなく修正することができます。

サーバー側のソフトウェア開発に携わっているチームにとっても、バイナリ解析は有効なツールとなりえますが、従来のソフトウェアコンポジション解析ツールで十分に対応できているというケースもあるかと思います。