株式会社ソリトンシステムズ(代表取締役社長:鎌田信夫 以下ソリトン)は、Refirm Labs社(以下Refirm Labs)と提携し、IoTファームウェア脆弱性調査を開始、そのプラットフォーム「Centrifuge(セントリフュージ)」を提供します。

 Refirm Labsが提供する「Centrifuge」は、ソースコード不要の脆弱性自動解析を行い、実用的で詳細な脆弱性診断レポートを提供します。また、最新の脆弱性データベースを用いた継続的監視機能により、アップロードされたファームウェアに新たな脆弱性が発見された場合、重大度に応じた警告を発します。どのような要素からファームウェアが構成されているかを示すSoftware BOM機能により、開発提供元からの情報と突き合わせること、あるいは、納入先へ提示することが可能になり、サプライチェーンにおけるサイバーセキュリティ対策の有効なツールになります。

【Centrifugeの主な機能】

  • コンパイルされたファームウェアから、ソースコードなしでコンポーネントを抽出します。
  • クラウドベースのプラットフォームを用い、潜在的なゼロデイ脆弱性、公開された脆弱性、暗号鍵、ファームウェア内の潜在的なバックドア等を検出、ファームウェアインベントリ全体のセキュリティ状態を詳細に把握します。
  • 初回スキャン後、新しいCVE情報が発行された場合にアラートを受信します。開発が終了した製品の脆弱性を継続的に監視することが可能です。
  • サポートOS、Linux・QNX・Android
    ※今後、UEFI(Unified Extensible Firmware Interface)、リアルタイムOS(VxWorks等)をサポート予定

Refirm Labs社CEO Terry Dunlapは次のように述べています。
「この度、株式会社ソリトンシステムズと提携し、Centrifugeを日本のお客様へ届けることが可能となり大変嬉しく思います。自動運転を始めとするファームウェア脆弱性調査のニーズは高まっており、Centrifugeを活用するゼロデイ脆弱性の発見やバックドアの検出などに役立つ機能を充実させていきたいと考えています。」

図1:Centrifugeの概要

<システム開発ライフサイクルへの導入>

 「Centrifuge」には、既存のソースコード監査ソリューションとは異なり、ファームウェアイメージ全体の包括的な分析を提供するサードパーティ製コンポーネントの分析が含まれています。システム開発ライフサイクルに「Centrifuge」を導入することで、生産管理全体のセキュリティを効率よく管理することが可能となります。

図2:システム開発ライフサイクル

【Centrifugeの無償トライアルについて】

 本格導入をご検討いただける企業の皆様を対象に、ファームウェア脆弱性調査を行う無償トライアルを 実施します。トライアルでは脆弱性解析プラットフォーム「Centrifuge」を7日間ご利用でき、最大3つまでのファームウェアの解析が可能となっております。

トライアルの詳細はこちら https://www.soliton.co.jp/products/refirm/?tab=02

【販売価格】112万5,000円~(税別)

【製品ページ】 https://www.soliton.co.jp/products/refirm/

【Refirm Labs社について】

 2017年に元 NSA (米国国家安全保障局) の職員等により設立、Red Teamで磨いた攻撃ノウハウを基礎としてサイバー攻撃に関する豊富な知識と経験を有しています。RSAの2018年トップ10イノベーターファイナリストの一つに選ばれました。

【 IoTファームウェア脆弱性調査に関する問合せ先 】
パブリックセーフティ部 Tel: 03-5657-4051 public-safety@list.soliton.co.jp