NECは2月7日、ソフトウェアのソースコードではなく実行ファイルのバイナリコードを静的解析するサイバーセキュリティ向けの新技術を発表した。脆弱(ぜいじゃく)性検査を40%効率化するという。
新技術は、ソフトウェアの実行形式となるバイナリコードを対象に静的解析を行う。特に、外部入力データのソフトウェア内部での処理を追跡し、コマンド実行処理など、機微な処理の制御に用いられている場合に「バックドアの疑いのある不審な実装」として検出する。
ソフトウェアの脆弱性検査は、ソースコードの静的解析を行うケースが多い。しかし、ソースコードが無い、入手できないといったソフトウェアの検査は専門家に依頼しなければ検査できなかった。新技術を利用すれば、ソースコードが無いソフトウェアでも静的解析を行える。例えば、ソフトウェアを利用する企業や組織などでは、導入前にソフトウェアの脆弱性リスクを把握できるようになり、サプライチェーンセキュリティ対策を強化できる。
このほかに新技術は、自社開発のため手元にソフトウェアのソースコードがある場合に、これまで懸念点だったビルド環境汚染(脆弱性混入や悪意ある人物の不正行為など)で安全な検査ができないなどの事態に対応可能になる。また、属人的だったバイナリ検査の一部をこの技術で自動化し、検査業務の効率化と検査品質の均質化も図れるという。
NECは、2024年度内に新技術を「リスクハンティングサービス」に適用する予定だという。
