Re-grit Partnersサイバーセキュリティチームの長尾と山下が、Black Duck Software様を訪問し、同社製品についてハンズオン形式で説明を受けるとともに、トレーニングを受講しました。本投稿では、トレーニングの感想も交えながら、Black Duck Software社の提供するサービス概要をご説明し、企業・組織が今後取り組むべきサイバーセキュリティ対策の展望について述べます。
Black Duck Software社について
Black Duck Software (旧 日本シノプシス) は、アプリケーション・セキュリティ・テスト(AST)分野のソリューションを提供するリーディングカンパニーです。ソフトウェアのセキュリティと品質を確保するための包括的なソリューションを展開しており、セキュリティリスクの軽減と開発効率の向上を支援しています。
ハンズオントレーニングについて
渋谷スクランブルスクウェアにて、Black Duck Software社から以下の製品についてハンズオン形式でトレーニングを受講しました。
Black Duck(ソフトウェア・コンポジション解析:SCA)
オープンソースソフトウェア(OSS)のセキュリティ(脆弱性管理)とライセンスコンプライアンスを統合管理するツールです。
主な機能:
- SBOM(Software Bill of Material)を作成
- 作成したSBOMを基に脆弱性スキャンを実施
- システム内の脆弱性を一元管理
これにより、OSS利用に伴うセキュリティリスクの可視化と効率的な管理が可能になります。
Coverity(静的アプリケーション解析:SAST)
Coverityは、ソースコードの静的解析を行い、コードに含まれる脆弱性や欠陥を検出するツールです。
主な特徴:
- SASTを利用したセキュリティテスト(ホワイトボックステスト)を実施
- ソースコード内の各モジュール間の相関関係を踏まえた精密な脆弱性検査
- コーディングが完了し、ビルド済みの状態でスキャンを実施
これにより、フォルスポジティブやフォルスネガティブの発生が他社製品に比べて極めて少なく、高い精度を誇ります。
その他ソリューションについて
今回のトレーニングでは対象外でしたが、Black Duck Software社は以下の製品も提供しています。
- Seeker(インタラクティブアプリケーション解析:IAST)
実行中のアプリケーションをリアルタイムでテストし、脆弱性を検出。 - Polaris(SaaSベースのSCA/SAST)
SaaS形式で、複数のセキュリティツールからの情報を集約・解析するプラットフォーム。 - White Hat(動的アプリケーション解析:DAST)
実行中のアプリケーションをブラックボックステストにより脆弱性を検出。
今後のサイバーセキュリティ施策
2024年に施行された欧州サイバーレジリエンス法(欧州CRA)により、欧州市場で流通するデジタル製品に関わる製造業者に対し、厳格な脆弱性管理が義務付けられました。この影響は欧州に留まらず、日本国内においても脆弱性管理体制の強化が求められる傾向が強まっています。
実際に、IT製品の構成情報を国が管理し、脆弱性情報の発信や対応要請を行う方針が検討されています。さらに、日本版CRAの制定により、強制的な対応が求められる可能性も高まっています。
こうした背景の中で、企業・組織が能動的に取り組むべきサイバーセキュリティ対策として、脆弱性管理の強化が重要です。そのため、今回ご紹介したBlack Duck Software社製のソリューション導入をはじめとする対策を、早期に検討することが求められます。
Re-grit Partners サイバーセキュリティチームは、ソリューション選定を含む脆弱性管理施策の立案・推進を全面的にサポートいたします。お気軽にご相談ください。
※本投稿に記載の製品仕様等は変更されている可能性があります。ご利用の際は、必ず最新の情報をご確認の上、対応をご検討ください。