組込開発、コネクテッドデバイス(IoT)
金融システム開発における
コードレベルのセキュリティ対策
ハードウェア脆弱性に関するリスクは高まり続けていますが、一方でセキュリティコミュニティによる対策や研究も行なわれています。
Riscureのハードウェアセキュリティ製品はIPA(情報処理推進機構)でも採用されている信頼性の高いシステムであり、TrueCodeは「ソフトウェア」面からハードウェア脆弱性について対策します。
システム開発は、工程が後になるほど影響は大きくなります。
True Codeは、結合テストの前にセキュリティリスクを発見し、品質と納期とコスト、そしてリリース後の損害リスク低減に貢献する、IoT時代のシステム開発ベンダー必携のシステムです。
ユースケース
本製品の特長
特長1ソフトの論理面に加え、ハードへの物理的攻撃に強いコードにできる
コーディング規約の対応が目的
MISRA/CWE/OWASP/CERT/DISA STIG/etc...
セキュリティ対策が目的
論理面、ハードウェアに対する攻撃への対策
組込開発における一般的な静的解析ツールはMISRAやCWEなどといった特定のコーディング規約に準拠させることでソフトウェアの質を担保する目的で導入されるものです。それに対し、True Codeはセキュリティ面に特化したものです。
一般の静的解析ツールにおいても論理面のセキュアコーディングに関してはある程度の水準でカバーされていますが、ハードウェア面からの攻撃が進歩した現在、それでは不十分です。
高度な測定器や攻撃に応用可能なデバイスが容易に入手でき、従来考えもしなかった攻撃が可能になった今日において、フォールトインジェクション攻撃に代表される物理的攻撃による論理面への介入(基板へのレーザー照射により誤動作を起こし、if文の判定を強制変更するなど)に対してコード面からケアすることに特化した製品はTrue Codeのみです。
特長2簡単な設定ですぐに利用開始
EclipseIDE/Vimに統合、又はスタンドアロンで動作
True CodeのチェッカーはC言語又はC++言語に対応しており、オープンソースのIDE EclipseやVimに統合するか又は単独で動作させることができる開発者フレンドリーな製品です。
DevOpsツールチェーンに統合して利用も可能であり、お客様が個別に有する既存の開発ワークフローとの柔軟な親和性が確保されるよう考えられています。
利用開始の設定は簡単です。数分の解説動画でご紹介しています。
特長3問題のある箇所を抽出しソースコードの該当箇所をわかりやすく提示
静的解析の導入が、開発者の生産性を高めるように。
リスクの提示と共にコードの該当部分にジャンプし、ソースコードの該当箇所が視覚的にわかるようにアノテーションされます。
開発現場において、実装を担当する一人一人の開発者の全員が最新の攻撃手法と対応策に対して高い知見を持つことは難しいことを我々は理解しています。
True Codeは個々の開発者がセキュリティの知見を持つエキスパートのナレッジを活用でき、コミュニケーションを取りやすくすることを念頭に置き開発されています。
特長4誤検知を減らすための独自の仕組み
静的解析の導入にあたって必ず議題に上がるテーマが誤検知です。静的解析ツールは機械的に分析を行なうため、誤検知が生じます。
旧来の静的解析ツールは誤検知が多い傾向がありましたが、True Codeではコンテキスト(文脈)を判定に用いることで誤検知を減らす独自の仕組みを備えております。
True Codeは
トップクラスのセキュリティ専門家たちの
知見から生まれたツール
Riscure社はオランダに本社を置くセキュリティ専門ベンダーで、
Riscure社の製品は世界中のメーカー、政府機関、セキュリティテストラボで使用されています。
