4E-02
組込機器に対するソフトウェア構成分析における誤検出原因の分析
○馬場亮輔,梅崎一也(富士電機)
OSSの脆弱性を狙った攻撃の対策として、ソフトウェア構成分析が求められている。当社の組込製品1機種をツールで分析したところ、想定よりも大幅に多いOSSが使用されている可能性ありとして検出された。
検出されたOSSが実際に使用されているかは、人手で判断する必要があり、そのためには判定基準が必要となる。
そこで、ツールがどのようにOSSと判定しているかを把握するために、ツールによる検出結果を分析した。その結果、検出されたOSSのほとんどが誤検知であること、ツールが誤検知に至るパターンがあることを確認した。
本稿では、上記の分析方法及び結果、特定した誤検知パターンについて述べる。