バイナリベース脆弱性診断ツール「VCode」
特長
VCodeはビルド後のバイナリ(実行ファイル)ベースでソフトウェアのセキュリティ診断を実施します。
ソースコード無しで、サードパーティー製のライブラリやOSSも含めて解析することができるため、ソフトウェアサプライチェーンのサイバーセキュリティリスクの特定に役立ちます。
また、ISO/SAE 21434やUN-R155などのサイバーセキュリティ関連規格や法規のコンプライアンス対応に求められるSBOM(ソフトウェア部品表)の作成も可能です。 ソフトウェアの構成要素をすべて一覧化することで、ソフトウェアの透明性や完全性の確保にもつながります。
新機能「TARA(脅威分析とリスク評価)」「VMS(脆弱性管理)」が追加されました!
※IoTデバイスのハッキング監視や防御、インシデント管理用ソリューションをお探しの方は、
自律型セキュリティプラットフォーム「XGuard」をご検討ください。
バイナリベース脆弱性診断ツール「VCode」の主な特長
- ソースコードやビルド環境へのアクセスなしで、バイナリからプログラムの解析が可能
- オープンソースコンポーネントも含め、脆弱性の有無を診断し、セキュリティリスクを可視化
- 検知した脆弱性の改善策を、対応の優先度と合わせてコンテキストベースに提案
- セキュリティやコンプライアンス対応のレベルや進捗が一目で分かるレポートやチェックリストを作成
- UN-R155などの各種サイバーセキュリティ法規や標準に対応したSBOMの生成が可能
- TARA(脅威分析とリスク評価)機能が規格認証の取得をサポート
- 脆弱性やセキュリティ脅威情報を一元的に管理
バイナリ解析よって検知できる脆弱性
VCodeのバイナリ分析は、CVE情報を元に脆弱性を検出するだけでなく、脆弱なパスワードやリスクのあるツール、怪しいデータ、安全でないバイナリなど、セキュリティ設定の問題からコーディングエラーまで幅広く指摘します。
- 脆弱なパスワード
- IoTでつながるシステムのセキュリティに、強力なパスワードの存在は欠かせません。VCodeは不正アクセスなどの原因となりうる、脆弱なパスワードを検出します。
- 各種OSカーネルの脆弱性
- 特定のサイバー攻撃の防御に用いられる、カーネルの構成オプションもスキャンします。
- CVE情報に基づく、ライブラリ内の脆弱性
- ファームウェアイメージ上のソフトウェアライブラリやアプリケーション内で検出されたセキュリティ上の欠陥に割り当てられる一意の識別番号である、共通脆弱性識別子(CVE:Common Vulnerabilities and Exposures)情報を参考に、一般的によく使用されるライブラリの脆弱なバージョンが使用されていないかどうかをチェックします。バイナリのランタイム実行を可能にするような脆弱性を事前に検知することで、これらの脆弱性を狙った、ファイルレス攻撃やインメモリ攻撃に対する防御を強化することができます。
- 安全でないバイナリ
- 各種コンパイラやリンカ、OSにはビルドの際に、インメモリ攻撃への対策としてランタイムチェックの実施や防衛メカニズムを施すセキュリティ機能が備わっています。これらの設定に問題がある場合、VCodeが問題を指摘します。
- 不十分なファイル権限の設定
- Linux OSには、ユーザーやグループのファイル権限の範囲を区別するモデルが存在します。緩い権限設定のファイルは改ざんされたり、より高い権限(例えば、ルート権限)での実行による、システム設定の改変に利用される可能性があります。VCodeは、推奨されるレベルの権限設定がなされていないファイル(SUIDフラグが設定されていないアプリケーションなど)を検出します。
SBOMの生成&管理が可能
VCodeは、UN-R155をはじめとするサイバーセキュリティ関連法規や基準への準拠に求められるSBOM(ソフトウェア部品表)を解析対象のバイナリデータから生成することができます。
ファイルシステムの構成要素やイメージ内の各コンポーネントの詳細情報を、サードパーティ製ソフトウェアの所在やCVEに該当する脆弱性の数と深刻度、依存関係、ライブラリのバージョン番号、関連するライセンスタイプなどと合わせて、ユーザーに提供します。VCodeで取得した詳細データには簡単に様々なフィルタをかけられるので、情報の分析や次に取るべきアクションの絞り込みも容易に行うことができます。
また、SBOMファイルを読み込んで、ソフトウェア構成要素を表示・確認することも可能です。
新機能:TARA & VMS
TARA(脅威分析とリスク評価)機能
VCodeには、「資産の洗い出し」、「脅威の洗い出し」、「リスクの評価」の3工程からなる、TARA:Threat Analysis and Risk Assesment機能が搭載されています。この機能を使うことで、各種規格認証の取得に必要となるドキュメント(レポート)を手軽に、そして短時間で作成することができます。
さらに、TARAレポートは以下の用途でも活用できます。
- ISO/SAE 21434に準じた、脆弱性修正のためのガイドラインとして
- OEMやサプライヤ間での情報共有ツールとして
- サイバーセキュリティ対策のトレーサビリティ確保のため
VMS(脆弱性管理)機能
VCodeは、バイナリ診断の結果やTARAレポートに加え、NVDをはじめとする各種セキュリティ脆弱性のデータベースやオープンソースインテリジェンス(OSINT)などの情報をリアルタイムで一元管理するためのVMS(Vulnerability Management System)機能が搭載されています。この情報は、UN R-155で求められる型式認証取得プロセスにおけるエビデンスとしても利用できます。
すべての情報を集約しておくことで、複数製品やバージョンを跨いでの脆弱性の影響を分析する際にも役立ちます。
対応フォーマット
VCodeは以下をスキャンして、セキュリティ上の脆弱性を検出することが可能です。
- Yoctoなどのビルドシステムで作成したソフトウェアイメージ
- 特定のデバイスに書き込み前のファームウェアイメージ(ova/vmdk イメージやMBKディスクイメージを含む)
- Linuxのカーネルコンフィグレーション
- 単体ファイル(各種実行ファイル、ライブラリ、jar、apkなど)
- 対応するファイルシステム
- cpio、ext4、jffs2、squashfs、vfat など
- 対応するアーカイブファイル
- ]bz2、gz、tar、xz、zip(ネストされたinitrd/initramfsを含む)など
- 対応するOS
- Linux、Android(sparse、payload.bin、super.img、boot.img)、QNX、FreeRTOS、AUTOSAR
-
ライセンスについて
VCodeのライセンスは、Subscriptionタイプでの提供になります。
- Subscriptionライセンス
- 保守費を含んだ、年間契約タイプのライセンスです。
解析を実施するユーザーごとに1ライセンスが必要になります。
ライセンスの詳細や価格については、お気軽に弊社営業チームまでお問合せください。
お問い合わせ先
phone Tel: 03-3245-1248 mail Email: ss_sales@toyo.co.jp
保守契約について
Karamba Security社製品の保守契約については、下記ページをご参照ください。
https://www.toyo.co.jp/ss/contents/detail/support_agreement_kbs
テクニカルサポートについて
技術的なご質問に関しては、以下までご連絡ください。
※ サポート受付時間:9:30~17:30(土日、祝日を除く)
お問い合わせ先
phone Tel: 03-3245-1248 mail Email: ss_support@toyo.co.jp
お問い合わせに際してのお願い:
- お問い合わせのE-mailに、次の情報を付加してください。それによって、より早い回答をお届けすることができます。
- ご使用になっているOSの種類とバージョン
- ご使用になっている製品のバージョン
- エラーメッセージが出ている場合は、そのエラーメッセージを正確にお送りください。GUI の場合は、画面をキャプチャした画像ファイルをお送りください。
- 可能な限り、その問題が発生した経緯、再現の手順をお知らせください。