半導体、ネットワーク、サイバーセキュリティ、AI/IoTにおけるトータルサービス＆ソリューション・プロバイダーの株式会社マクニカ（本社：神奈川県横浜市、代表取締役社長：原 一将、以下マクニカ）は、PC、サーバ、ネットワーク機器をはじめとするあらゆる機器のファームウェアをサイバー脅威から保護するセキュリティソリューションのリーディングプロバイダーEclypsium Inc.（本社：米国オレゴン州ポートランド、CEO：Yuriy Bulygin、以下エクリプシウム)）と同社製品の販売における代理店契約を日本で初めて締結したことを発表いたします。これにより、企業が管理している端末やサーバ、ネットワークデバイス等のファームウェア(BIOS、コントローラー等)に存在する脆弱性や改ざんの対策を行い、見落とされがちなファームウェアのセキュリティ向上を支援してまいります。

2019年以降、相次いでSSL-VPN機器等の非常にクリティカルなOS等の脆弱性が報告されました。これにより、攻撃者は今まで侵入することが困難とされてきた境界型多層防御や監視を迂回する形で極めて容易に侵入することが出来るようなったため、OSの脆弱性を突いた攻撃を仕掛けるようになりました。また、これまでは対策されてこなかった「OSより低いレイヤの脆弱性(ファームウェアの脆弱性)」にも、攻撃者は目を向け始めており、今後益々包括的な対策が求められます。特に盲点となっているのが、このファームウェアの脆弱性です。

ファームウェアを対策すべき理由は以下の通りです。

ファームウェアを対策すべき理由
●OS起動前にマルウェアを動作させることで、管理者レベルの権限を使い、侵害される可能性がある
●既存のセキュリティソリューションでは、OSレベルで動作するため、ファームウェアの脆弱性の悪用や改ざんの検知が難しい
●ファームウェアを改ざんされた場合、OSの再インストールやハードディスクの交換では復元することが難しい
●ファームウェアを破壊することで、機器を永続的に使用不能させる可能性がある

このような理由により、 OSより低いレイヤに存在している脆弱性に対するセキュリティソリューションとして、Vulnerabilities Below the Operating System(以下、VBOS)という新しいジャンルのセキュリティ対策が注目されつつあります。

VBOS対策は、企業が管理している端末やサーバ、ネットワークデバイス等を可視化し、主にファームウェアの設定や、各種コンプライアンスへの準拠有無に対して、継続的にチェックする機能を提供します。企業が管理している端末やサーバ、ネットワークデバイス等の管理が不十分であった企業は、VBOSに対するアプローチを容易に実現することが出来るようになります。

その中で、今回契約したエクリプシウム のソリューションには、大きく以下の特徴があります。

エクリプシウム 製品の特徴
●ネットワークデバイスのインベントリと、ファームウェアリスクの可視化、及びそれらの管理
　○ファームウェアのSBOM(Software Bill of Materials)を作成することが出来る
　○シンプルで分かりやすいユーザーインタフェース
●ファームウェアに存在する脆弱性の検知 (RISK)
　○検知に関する概要、攻撃事例、被害時の影響を表示、また、修復方法の提示
●ファームウェアの改ざん、設定変更の検知 (INTEGRITY)
　○エクリプシウム コンソールから脆弱なファームウェア(BIOS、コントローラー等)の修正パッチの適用

本発表にあたり、エクリプシウム社 CEO & Founder：Yuriy Bulygin氏は次のように述べています。
「私たちエクリプシウムのビジョンは、お客様のハードウェア・インフラとサプライ・チェーンの信頼性向上に貢献することです。セキュリティソリューションの販売実績があり技術力の高いマクニカと提携し、日本のお客様に先進的なエンタープライズファームウェアセキュリティソリューションとサービスを提供できることを誇りに思っています。これは、エクリプシウムの継続的な成長における大きなステップであり、マクニカとの長期的なパートナーシップに期待しています。」

マクニカでは、これまで取り扱ってきたAPT/インシデントレスポンス関連のソリューションに加え、今回のエクリプシウムを商品ラインナップに加え、VBOS領域についても網羅することで、企業のセキュリティ強化を支援してまいります。