東陽テクニカは1月24日、イスラエルのサイバー・セキュリティ対策ソリューションのメーカーであるKaramba Securityと販売代理店契約を締結し、バイナリベース脆弱性診断ツールである「VCode」および自律型セキュリティ・プラットフォームである「XGuard」を販売開始した。
VCodeは、バイナリ(実行ファイル)ベースで脆弱性診断を行い、組込みソフトウェアのセキュリティ上のリスクを可視化し、脆弱箇所の修正方法を提案するという。ソフトウェア部品表(SBOM)の生成・管理機能も備え、準拠の必要性が高まっているサイバー・セキュリティ関連標準へのコンプライアンス対応を支援するとしている。
XGuardは、デバイス上に常駐してマルウェアの存在を検知すると自動で実行を阻止する組込み型エージェントと、バックエンドでのセキュリティ・インシデントのモニタリングおよび情報収集・分析機能を兼ね備えているとのこと。拡大するIoTデバイスの利用に対し、サプライチェーン・リスクの可視化からハッキングの監視・対策までを網羅するという。
VCodeはソースコードやビルド環境へのアクセス無しで、バイナリからプログラムの解析が可能。また、オープンソース・コンポーネントも含め、脆弱性の有無を診断し、セキュリティ・リスクを可視化できる。さらに、検知した脆弱性の改善策を、対応の優先度と合わせてコンテキスト・ベースに提案できる。
加えてセキュリティやコンプライアンス対応のレベルや進捗がわかるレポートやチェックリストを作成できるほか、UN-R155などの各種サイバー・セキュリティ標準に対応したSBOMの生成が可能だ。
XGuardはソースコード不要のバイナリ組込み型エージェントで、エージェント組込みによりパフォーマンスへの影響を軽減することができる。またオリジナルのビルドに存在しないコードは全てマルウェアと判断し、実行を阻止する。
さらに、Karamba独自の制御フローの整合性(CFI)メカニズムにより、バッファ・オーバーフローなどの脆弱性を標的とするファイルレス攻撃を自動的にブロックでき、セキュリティ脅威となり得る異常な動作やアクセスを自動で監視・情報収集・分析(機械学習)できるという。