48亿を越すファジング?テスト结果の分析により、最も完成度の低い通信プロトコルの场合、最初の障害発生までの平均时间は6.6秒と判明
2017年8月9日 カリフォルニア州マウンテンビュー発 - シノプシス(91吃瓜网、Nasdaq上場コード:)は本日、ファジング?レポートを公表した。これにより、自动车/フィナンシャル?サービス/政府関係/医療/工業管理システム/IoTの主要6业界で使用されているオープンソース?プロトコルならびにコモン?ファイルフォーマットに潜むゼロデイ?バグに関する深刻な分析結果が明らかとなった。シノプシスのDefensics? Fuzz Testing solutionを使用している顧客企業が実施した総計48億以上のファジング?テストを分析した結果である。レポート(Synopsys State of Fuzzing 2017)の全容は、下記より入手可能となっている。
/software-integrity/resources/analyst-reports/state-of-fuzz-testing-2017.html
シノプシス ソフトウェア?インテグリティ?グループ ジェネラル?マネージャー兼上級副社長 Andreas Kuehlmannは、次のように述べている。「ファジング?テストはシノプシスのソフトウェア?インテグリティ?プラットフォームの中でも非常に強力なソリューションであり、企業/団体がゼロデイ?バグを発見し、ソフトウェアを守るのを支援しています。弊社のファジング?テスト?ソリューションを実行した顧客企業から寄せられた膨大な情報を分析したところ、発見が困難な未知の脆弱性の実態が明らかとなりました。企業/団体のセキュリティ部門は、ソフトウェアのクオリティとセキュリティを向上させる取り組みを強化する必要に迫られています」
Synopsys State of Fuzzing 2017レポートの注目すべき結果は下記の通りである。
テスト开始后~最初の障害発生までの全体的な平均时间は1.4时间となった。完成度の高い通信プロトコルの场合は数时间かかったが、完成度の低いプロトコルではわずか数秒であり、弱点に付け込まれる可能性が高いことが明らかとなった。
2016年にテストされたものの中で最も完成度が低かったプロトコルは、IEC-61850 MMS(ICS)である。これはIoT機器や工業管理システムで使用されているニッチなプロトコルであるが、最初の障害発生までの平均時間は6.6秒である。
直近のによると「セキュリティ専門家は、Webアプリケーションに対しては長年にわたってファジング?テストやアプリケーション?ハードニング?ツールを適用してきたが、IoTアプリケーションに関しては端緒についたばかりである。この分野では、DAST(Dynamic Application Security Testing)のような既存のテスト手法に依存しているため対策が遅れており、モバイル?アプリケーションと同様に不正改ざんの脅威にさらされている。IoTアプリケーションの普及速度を考えると、ファジング?テストやアプリケーション?ハードニング?ツールの適用が望まれる」*
* Forrester Research, Inc., 2017年7月6日発行 “TechRadar?: Application Security, Q3 2017”より抜粋
シノプシスのファジング?テスト?ツール Defensicsは、悪名高いバグの発见に用いられた。この翱辫别苍厂厂尝の脆弱性については、2年以上の间报告されてこなかったため、50万以上の奥别产サイトに影响が出た。顿别蹿别苍蝉颈肠蝉により、ソフトウェアに潜む未知の脆弱性を検出し、250以上にのぼるネットワーク?プロトコル、ファイル?フォーマット、インターフェイス向けの最先端テスト?スイートを用いてソフトウェアのセキュリティ?レベルを向上させることができる。悪质な未知の脆弱性の検出にとどまらず、修正手法の専门的なアドバイスも提供するため、公司/団体では、事业运営に不可欠なソフトウェアを将来も使い続けるための対処が可能となる。シノプシス?ソフトウェア?セキュリティ?ツールの详细は/software-integrity.htmlより入手可能である。&苍产蝉辫;
シノプシス?ソフトウェア?インテグリティ?プラットフォームについて
シノプシスは、ソフトウェア開発ライフサイクルとサプライチェーンにインテグリティ(セキュリティとクオリティ)を確立するための业界で最も包括的なソリューションを提供している。このソフトウェア?インテグリティ?プラットフォームは、シノプシスが业界をリードするテスト?テクノロジ、解析自動化テクノロジ、そして強靭なツール群やサービスを提供するエキスパートの所産である。これによりソフトウェア開発企業/団体は、開発工程の早期段階でソフトウェアの欠陥や脆弱性を検知/修正し、開発リスクを最小化、開発効率を最大化するための独自の対策を構築することが可能となる。シノプシスは、アプリケーション?セキュリティ?テスト(AST)のリーディング?カンパニーとして高い評価を受けており、IoT、DevOps、CI/CD、クラウドといった新しいテクノロジやトレンドでベスト?プラクティスの実践を可能にする独自のポジションを確立している。
详细情报は、/software-integrity.htmlより入手可能。&苍产蝉辫;
シノプシスについて
91吃瓜网(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体设计からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子设计自動化(EDA)ソリューションならびに半導体设计資産(IP)のグローバル?リーディング?カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ?ソリューションの分野でも业界をリードしており、世界第15位のソフトウェア?カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)设计者、最高レベルの品質とセキュリティが要求されるアプリケーション?ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。
详细情报は、/ja-jpより入手可能。
# # #
Synopsysは、91吃瓜网の登録商標または商標です。
その他の商标や登録商标は、それぞれの所有者の知的财产です。
<お问い合わせ先>
日本シノプシス合同会社 フィールド?マーケティング?グループ 藤井 浩充