課題情報

• （研究開発小項目1-1）ソフトウェア構成情報を活用する方法論の整理

  ファームウェアに含まれるソフトウェアを対象として、有用なソフトウェア構成情報の調査と取得手法、およびその利用方法を整理する。

• （研究開発小項目1-2）サプライチェーンリスク管理手法の研究

  ソフトウェア構成情報を取得できない場合においても、機能、環境の観点の属性が類似する既知のソフトウェアの情報から、有効に脆弱性を推定する手法の基本方式を確立する。語彙基盤を構築し、SBOMの表現揺らぎ、出力形式揺らぎにもとづく、脆弱性の検出漏れを防ぐ手法の基本方式を確立する。

• （研究開発小項目2-1）有用なソフトウェア構成情報とその取得方法の研究

  研究開発小項目1-1で整理した方法論を基にして、有用なソフトウェア構成情報を低コストで取得可能な手法を検討し、脆弱性や不正機能検知に利用可能な情報の取得の研究開発を実施する。

• （研究開発小項目2-2）OSSの信頼性評価（GitHub等活用）

  OSS・プロプライエタリソフトウェアの信頼性として開発状況において、ソースコードに対する脆弱性検出と不正機能挿入可能性の有無の自動的評価手法の研究開発を実施する。また、OSSの脆弱性推定において、類似プロジェクトにおける脆弱性情報に基づく検証対象ソフトウェアに存在する可能性のある脆弱性および対策の提示手法の研究開発を実施する。

• （研究開発小項目2-3）ソースコードとバイナリコードを併用した不正機能の検証手法の研究

  研究開発小項目2-2において実現するソースコードの分析手法と評価手法、および研究開発小項目2-4で実現するバイナリコードの機能推定方式を併用して、より高精度な脆弱性と不正機能の検知手法の研究開発を実施する。

• （研究開発小項目2-4）バイナリコードのみの解析

  バイナリコードを対象として、コードブロックから処理内容を推測する手法や、脆弱性や不正機能の可能性があるコードを検知する手法の研究開発を実施する。

Software Composition Analysis (SCA)ツールを用いて不正機能の有無を検証するには、SCAツールの正確性を把握する必要がある。既存のSCA ツールの精度検証のための評価指標の確立、データセット作成、データセットを用いたSCAツール評価を実施する。また、不正機能検知手法の評価のために、故意に埋め込まれた不正機能の検知精度評価のためのデータセットを作成する。

ツールの想定利用者である評価サービス事業者、PSIRT業務従事者へのヒアリング・分析を実施し、ツールに必要な機能要件、インタフェース要件などを策定し、ツールのアーキテクチャを定義する。さらに、研究開発項目1、2の一部の成果を、アーキテクチャにもとづいてツールのプロトタイプとして実装する。