GTM-MML4VXJ
Skip to main content

Japan

  1. ホーム >
  2. プレスリリース >
  3. 2018年 >
  4. セキュアな組込みシステム開発を支援 「Black Duck」の販売、及び「脆弱性検証サービス」の提供を開始

プレスリリース

2018年11月7日
株式会社富士通コンピュータテクノロジーズ

セキュアな組込みシステム開発を支援
「Black Duck」の販売、及び「脆弱性検証サービス」の提供を開始

株式会社富士通コンピュータテクノロジーズ(代表取締役社長:福元 芳朗、本社:川崎市中原区上小田中4-1-1)は、2018年11月よりSynopsys, Inc.(以下、シノプシス社)「Black Duck」の販売を開始します。

昨年、当社は日本シノプシス合同会社(社長 職務執行者:藤井 公雄、本社:東京都世田谷区)とシノプシス社製品における販売店契約を締結し、Coverity、Defensicsを販売しています。今回、新たにBlack Duckの販売を開始することで、セキュアな組込みシステム開発支援を更に強化することが可能となります。

併せて、セキュアな組込みシステム開発を支援する「脆弱性検証サービス」の提供を開始します。「脆弱性検証サービス」は、シノプシス社製品を活用することで検証工程における静的・動的検証、また既知・未知の脆弱性対策を網羅的にカバーすることが可能となります。

また、今後は更に要件・設計工程におけるセキュリティバイデザインの適用や、運用・保守工程におけるP-SIRT構築など、セキュアな組込みシステム開発における全ての工程を対象とした脆弱性対策を提供していく予定です。富士通コンピュータテクノロジーズの「脆弱性検証サービス」は、お客様に最も適したサービスとツールの提供で、セキュアな組込みシステム開発を支援します。

背景

IoTに代表されるインターネットへ接続するIoTデバイス(以下、組込みシステム)が急激に増加し、それに伴い組込みシステムに対するサイバー攻撃の脅威も増大しています。この対策として近年、「IoTセキュリティガイドライン」等の指針公開や、標準化・規約化へ向けた整備も進んでいますが、組込みシステムに対応したセキュリティとして具体的な手段を検討していくには課題があります。

富士通コンピュータテクノロジーズでは、セキュアな組込みシステム開発を実現するために、既に提供している「ソースコード検証サービス」と「ファジング適用サービス(旧名称:ソフトウェア脆弱性検証サービス)」をベースとし、「OSS脆弱性チェックサービス」と「脆弱性スキャン適用サービス」を加えることで、検証工程における静的・動的な検証、また既知・未知への脆弱性対策を網羅的にカバーする「脆弱性検証サービス」の提供を開始します。

「Black Duck」は、その中で「OSS脆弱性チェックサービス」に必要なツールとしてお客様に活用して頂くことを前提に販売を開始します。

そして、当社が長年、組込みシステム開発会社として培ってきた開発技術と検証技術を活かし、お客様に合うサービスやツールを提供することで、セキュアな組込みシステム開発を支援します。

脆弱性検証サービス概要

組込みシステムにおける脆弱性対策の取り組みは、品質の考え方同様に各工程で適切な対策を施すことが必要とされており、実装工程ではソースコードに対する脆弱性診断などの静的検証、検証工程では既知の脆弱性に対する「脆弱性スキャン」、未知の脆弱性に対する「ファジング」などの動的検証を実施することが効果的です。富士通コンピュータテクノロジーズは、これらの検証を「脆弱性検証サービス」の各サービスメニューとして提供しています。

サービスメニュー

サービス サービス概要
ソースコード検証サービス ソースコードを解析してソースコード上の脆弱性の有無を確認できる静的解析ツールの導入~運用を支援します。お客様のご要望によって静的解析をサービスとして提供、またCERT Cなどのセキュアコーディングガイドライン等への準拠状況確認や、解析で検出された指摘に対する修正要・不要を分析するなど付加価値の高いサービスを提供します。
※組込みシステム(IoTデバイス)の開発に関わらず、アプリケーション開発~エンタープライズ向け開発まで幅広い分野、用途での適用実績があります。
脆弱性スキャン適用サービス 既知の脆弱性のパターンを使用し解析対象を攻撃することで、脆弱性の有無を確認するテスト(脆弱性スキャンテスト)をサービスとして提供します。
ファジング適用サービス 未知の脆弱性を検出させるために、ファズデータ等を活用して解析対象をテストするファジングツールの導入~運用、また必要に応じてファジングテストをサービスとして提供します。
OSS脆弱性チェックサービス ソフトウェア開発に使用するOSS(オープンソースソフトウェア)や外部モジュールや、そこに含まれるソースコードまたはバイナリーから既知の脆弱性の有無を確認できるコンポジション解析ツールの導入~運用を支援します。
※ソフトウェア開発全般に適用可能です。

また、セキュアな組込みシステム開発は、上流工程から取り組むこと(セキュリティバイデザイン)が必要です。富士通グループ全体では、「脆弱性検証サービス」以外にも脆弱性対策に関連する様々なサービス等をご用意しています。当社のサービスのメニューに合致しないご要望であっても、可能な限りご対応させていただきます。

組込みシステム(IoT機器)の各工程と対応サービスの例

組込みシステム(IoT機器)の各工程と対応サービスの例
拡大イメージ

組込みシステム(IoT機器)の各工程と対応サービスの例

シノプシス社製品概要

  • Black Duck®
    ソースコードまたはバイナリーから、ソフトウェアで使用しているOSS(オープンソースソフトウェア)の一覧や、これらに含まれる既知の脆弱性やライセンス条件などを可視化するコンポジション解析ツールです。Black Duckは、専任のセキュリティチームの情報提供により、いち早く脆弱性の解析に結び付けることが可能です。
  • Coverity®
    ソースコードを解析し、信頼性やセキュリティ上の欠陥を検出する静的解析ツールです。Coverityは、ソースコードの網羅的な解析(プロシージャ間解析、パス解析)を特徴とし、人手のレビューでは見逃す可能性の高い欠陥を検出できます。また、自動車業界標準となっているMISRA、セキュアコーディングのCERT Cなど、コーディングルールの準拠状況を確認することも可能です。
  • Defensics®
    システムに対してファズデータ(予測不可能なデータ)を送信し、その応答を確認することで未知の脆弱性を確認するファジング(動的検証ツール)です。Defensicsは、OpenSSLの脆弱性であるHeartbleed(CVE-2014-0160)を発見したツールで、HTTP・Bluetooth・CANをはじめとするネットワークや外部インターフェース、またXML・オーディオファイルなどの外部ファイル入力など、組込み開発に必要な様々なプロトコルやファイルフォーマットをカバーしていることが特徴です。

Synopsysについて

Synopsys, Inc.は、半導体設計からソフトウェア開発に至るコンピュータの設計・製造・検証に関わる幅広い領域をカバーするソリューションを提供しています。特にEDA(Electric Design Automation)や半導体IP(Intellectual Property)の分野では、グローバル・リーディング・カンパニーとして長年の実績を持ち、近年ではセキュリティソリューション、ソフトウェア品質の分野でも業界をリードしています。ガードナー社のマジック・クアドラント評価では、アプリケーション・セキュリティ・テストの分野で2017年、2018年と2年連続でリーダーに指名されています。

関連ホームページ

脆弱性検証サービスのご紹介(パンフレット) (610 KB)

本件に関するお問い合わせ

以下のページよりお問い合わせください。

ツール・サービスに関するお問合せ

商標

  • Coverity, Defensics, Black Duck, Synopsys, またはその他のシノプシス社製品の名称および製品名は、米国Synopsys社の、米国およびその他の国における登録商標または商標です。
  • その他、記載されている製品名などの固有名詞は、各社の商標または登録商標です。

プレスリリースに記載されたサービスの内容、お問い合わせ先などは、発表日現在のものです。その後予告なしに変更されることがあります。あらかじめご了承ください。


GTM-5K47P6