メール
電話
メニュー
Black Duck SCA(ブラックダックSCA)は、アプリケーションやコンテナで使用されるOSS(オープンソースソフトウェア)およびサードパーティコードに起因するセキュリティ、品質、ライセンスコンプライアンスのリスクを、複数のスキャン技術とSBOM(ソフトウェア部品表)生成機能を組み合わせて包括的に分析・管理するソフトウェアコンポジション分析ツールです。
現在、世界的にネットワークに接続するIoT製品が急増していく中、IoT製品の脆弱性を狙ったサイバー脅威が高まっていることを背景に、ソフトウェアに対しての脆弱性を狙った脅威に対抗するセキュリティ機能の需要、各国における法規制が進んでおります。
EUでは「サイバーレジリエンス法(CRA)」が策定され、デジタル要素を含む製品における必須のサイバーセキュリティ要件(SBOM管理など)を満たさないものは、今後製品の流通/貿易に支障が出てくることになります。そのため、EU向けにデジタル要素を含む製品やサービスを販売するためには、全面適用義務が開始するまでに、CRA準拠の技術的な対応およびセキュリティマネジメント体制(PSIRT)の構築など、セキュアな開発環境の構築が急務となります。
CRA対応について詳しく知りたい
2027年までの対応が必須になったサイバーレジリエンス法について、SBOMや脆弱性管理など、日本企業が知るべきこと、やるべきことをわかりやすく解説
サイバーレジリエンス法(CRA) とは?
2024年10月
サイバーレジリエンス法(CRA)成立
2026年09月
脆弱性・インシデント報告義務
2027年12月
CRA全面的に適用義務 ※CRA対象製品の準拠状況をCEマークに統合管理
CEマークを取得できない製品は欧州市場で販売ができなくなります
サイバーレジリエンス法は、デジタル要素を含む製品の消費者を保護し、製品のサイバーセキュリティ確保を製造者に義務付ける欧州の規則です。2024年10月に制定され、今後の ・2026年9月 積極的に悪用された脆弱性、インシデント報告義務 ・2027年12月 CRA全面的に適用義務 までに、各企業は以下の対応が必要となります。
①重大なインシデント発生時および脆弱性発見時の当局への報告 ②製品の脆弱性が検知の際の情報公開 ③セキュリティ更新プログラムの配布 ④少なくとも最上位の依存関係を含むSBOMの作成(技術文書の一部として当局からの求めによって提出) ⑤CEマークの取得による適合性の証明
・ソフトウェアに対するセキュリティ脆弱性 ・製品に含まれるコンポーネントの特定と、脆弱性分析をサポートするためのSBOMの作成 ・暗号化におけるリスク ・セキュアで高品質な、かつ仕様に準拠したソフトウェア構築環境の整備 ・製品やサービスのセキュリティ対策、インシデント発生時の対応時のセキュリティマネジメント体制(PSIRT)の構築
サイバーレジリエンス法対応は富士ソフトがご支援いたします!
OSSのリスク管理とSBOM作成を支援する Black Duck® SCA
Black Duck SCA(ブラックダックSCA)は、高性能なコンポジション解析(SCA:Software Composition Analysis)で、組織におけるOSS(Open Source Software)の活用状況とリスクのマネジメントを支援するOSS管理および静的解析ツールであり、 OSSの安心・安全な利用とSBOMの有効活用を支援することで、開発者に過大な負担をかけずにセキュアなソフトウェア開発をする環境を整えます。 Black Duck SCA(ブラックダックSCA)は、その豊富な機能とカバレッジから業界標準のツールとも言える存在で、包括的なソフトウェア・コンポジション解析機能で、ソフトウェア開発ライフライクル(SDLC)において効率的にSBOM(Software Bill of Materials)を作成し、ライセンスコンプライアンス違反やセキュリティ上の脆弱性などに関するリスクの洗い出しを実施いたします。
SBOMの基本を詳しく知りたい
SBOMとは何か?その定義を詳細に解説します。セキュリティ強化とサプライチェーン保護の鍵となるSBOMについて、導入のメリットや作成用のツール、実践ポイントなどを徹底紹介!
OSSの脆弱性について理解したい
OSSの脆弱性について最新動向や実際の被害事例、管理プロセス、SBOM活用、ツール選定まで、技術者目線で徹底解説します。
Black Duck SCA(ブラックダックSCA)は、サイバーレジリエンス法対応として、お客様製品やサービスのOSSの管理や脆弱性対策・ライセンス違反のチェック・暗号化リスクなどを強力なコンポジション解析機能と圧倒的な情報量でサポートいたします。
Black Duckソフトウェア・コンポジション解析(SCA: Software Composition Analysis)は、様々なソフトウェア製品に含まれるOSS(Open Source Software)やサードパーティー製ソフトウェアに内在するセキュリティ、ライセンスのリスク管理を、ソフトウェア開発ライフライクル(SDLC)において支援します。
ソースコードはもちろん、バイナリ含めたソフトウェアをスキャンし、ソースコードやソフトウェア製品内でのオープンソースの利用状況などの依存関係を特定します。
アプリケーション内のOSSやサードパーティソフトウェアの利用状況やそれぞれのOSSにおけるセキュリティ、品質、ライセンスの問題を特定します。
CRA対応で必須となるSBOMが、業界で存在す様々なフォーマットで生成可能です。
開発者が操作する画面。ローカル/ビルド環境でソースコードや依存物をスキャンし、ファイルやディレクトリの「署名(シグネチャ)」を作成します。
File & Directory Signatures(MD5/SHA1 Hashes)
組織内に設置されるサーバ。クライアントから送られた署名を受け取り、ナレッジベースと照合して結果を取りまとめます。
Registration KeyMD5/SHA1 Hashes Matching Updates
CVE情報にくわえて、独自の脆弱性情報(BDSA)を元にしたOSSコンポーネント、ライセンス、既知の脆弱性を含む巨大なデータベース。
【参考】https://community.blackduck.com/s/article/Black-Duck-A-Technical-Introduction
コードベースのスキャンは、まず クライアント側(自分の環境) で行われます。スキャンが終わると、その結果が Black Duck アプリケーションを動かしている サーバー に送られ、処理されます。送信される内容は、各ファイルやディレクトリを識別するための シグネチャ(MD5やSHA1といったハッシュ値) や、パッケージ管理ファイルから得られる情報 です。ソースコードそのものは一切送られないため、コードを外部に出さずに安全にスキャンできます。
次に、このスキャンデータは Black Duck の Knowledge Base(ナレッジベース) に送られます。Knowledge Base (ナレッジベース)には、世界中の数百万件におよぶオープンソースプロジェクトの情報が蓄積されています。Black Duck は、この Knowledge Base (ナレッジベース) と照らし合わせることで、あなたのコードに含まれているオープンソースコンポーネントを特定します。
具体的な識別の仕組みは、パッケージマネージャのデータ と、シグネチャスキャナーが生成する SHA1 ハッシュ値 に基づいています。これにより、コード内にある OSS を高精度で特定し、そのライセンスや脆弱性情報を素早く把握できる仕組みになっています。
Black Duck(ブラックダック)社は、高機能コンポジション解析ツールであるBlack Duck SCA(ブラックダックSCA)以外にも、ファジングを行うツールであるDefensicsやSASTに対応したCoverity、IAST対応のSeeker、統合的なセキュリティ・プラットフォームであるPolarisなど、業界でも随一の統合的なAppSec(アプリケーションセキュリティ)を揃えています。 また公的機関よりも詳細といわれる調査能力を活かし、独自のリスク分析をした「オープンソース・セキュリティ&リスク分析(OSSRA)レポート」を公開して、啓蒙活動を行うなど、企業がOSS(Open Source Software)を安全・適法に利用するために、構成解析・脆弱性検出・ライセンス監査などのソリューションを総合的に提供するコンポジション解析分野における業界標準ともいえる企業です。
元々2002年12月に創業したBlack Duckは、2017年にSynopsysに買収され、その後、2024年にSynopsysから独立し、活動を続けています。
Black Duck(ブラックダック)社の製品は、 世界中の様々な企業にて導入されております。 Black Duck SCA(ブラックダックSCA)は OSS管理/SBOM作成の先駆者として知られております。
Black Duck(ブラックダック)社は、ガードナー社のMagic Quadrant™ AST(Application Security Testing)部門調査で7年連続リーダーとして位置づけられています。更に、リーダー企業の中でも5年連続TOPに位置付けられており、市場で高い評価を獲得しております。 また市場調査企業であるForrester Researchのレポートでも、コンポジション解析(SCA) *1、静的アプリケーションテスト(SAST)部門*2で業界リーダーとしての評価を受けています。
Black Duck(ブラックダック)社は、経済産業省主催の「サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース」にソフトウェアベンダーとして唯一参加しております。Black Duck(ブラックダック)社は、ソフトウェアセキュリティ分野において重要な存在である証です。
*1 Forrester Wave Leader 2023 Software Composition Analysis Software *2 Forrester Wave Leader 2023 Static Application Security Testing
他の追随を許さない高機能なコンポジション解析機能でOSS/SBOM管理を実現します。
著名なオープンソースから利用数の少ないライセンスまで幅広く検出可能
DevOps基盤やCI/CDツールの連携
古くなった・活動的でなくなったOSSを移行の判断が可能
SDLC(ソフトウェア開発ライフサイクル)の効率と品質を確保するための体系的なプロセス)への対応
Black Duck SCA(ブラックダックSCA)が独自にもつCybersecurity Research Center(CyRC)がOSS脆弱性に関する監視を行っており、NVD(National Vulnerability Database)、脆弱性情報データベースを凌駕する脆弱性に関わるデータベースを保持しており、リスク検出のみならず具体策まで提示可能
Black Duck SCA(ブラックダックSCA)の Knowledge Base (ナレッジベース)とは、業界最大規模のOSS(Open Source Software)ライブラリに関する情報データベースで、信頼性の高いOSSセキュリティとライセンス管理を支えるコア要素です。
約87万件以上のOSSプロジェクトを網羅し、2,750以上のライセンス情報と24万件以上の脆弱性(CVE)および独自脆弱性情報(BDSA)を収録。 ライセンス情報には、GPL、LGPL、Apache License、MIT、BSDなどの主要OSSライセンスに加え、それぞれの義務・制限・互換性情報も含まれる。
• ファイルやバイナリのハッシュ値照合、コードスニペットの一致、パッケージマネージャの依存関係解析など、複数の手法(マルチファクター)によるOSS検出に対応。 • ソースコードだけでなく、ビルド済みバイナリからのOSS成分抽出にも対応しており、開発後期の監査でも正確なライセンス管理が可能。
• Black Duck SCA(ブラックダックSCA)のCybersecurity Research Center(CyRC)が独自に収集・分析したBDSA(Black Duck Security Advisories)を活用し、NVD(National Vulnerability Database)よりも早く・詳細な脆弱性情報を提供。 • セキュリティだけでなく、ライセンス上の問題(例:GPL適用時の再配布条件)に関するルールセットも整備されており、法務・コンプライアンス対応を強力に支援。
• CI/CDパイプラインとの統合により、開発中に自動でOSSを検出・評価し、SBOM(ソフトウェア部品表)を生成。 • 脆弱性の有無だけでなく、組織で定めたライセンスポリシー(例:GPL禁止、Apache許可など)に基づいた自動評価と違反通知も可能。 • セキュリティとライセンスの両面から、継続的かつ自動化されたリスク管理(コンプライアンス監視)を実現。
業界標準のSBOMフォーマットのエクスポートに対応。SPDX、CycloneDX、SWIDなどの出力に対応。カスタムフィールにも対応しており、アプリケーションの透明性を確保し、顧客または業界の要件に合わせることができます。
またインポート機能もあり、既存のSBOM(Software Bill of Materials)をBlack Duck SCA(ブラックダックSCA)に読み込んで、依存関係を既知のコンポーネントに自動的にマッピングし、カスタムまたは商用ソフトウェアの依存関係用に新しいコンポーネントを作成します。
Black Duck SCA(ブラックダックSCA)のGUI上でできる操作をREST API経由でも実行可能であり、CI/CDや他ツールと連携することが可能です。たとえば、Jenkins、GitLab CI、Azure DevOps、GitHub Actionsなどに組み込み、ビルドごとのスキャン自動化が可能で、スキャン結果をAPI経由で取得し、パイプライン上でポリシー違反や脆弱性のブロック判断を行うことができます。 Black Duck SCA(ブラックダックSCA)のREST APIは、OSSのセキュリティとライセンスリスク管理をシステム横断的に自動化・可視化するための強力な手段です。DevSecOps実現、法規制対応、社内ガバナンス強化にも貢献し、SDLC(ソフトウェア開発ライフサイクル)を統合したSCM(ソフトウェアサプライチェーン)全体にわたる自動化にも貢献する、拡張性と柔軟性に優れたAPI基盤です。
DevSecOpsとは、ソフトウェア開発(Dev)と運用(Ops)のプロセスにセキュリティ(Sec)を組み込み、開発の初期段階から継続的にセキュリティ対策を行う考え方です。Black Duck SCA(ブラックダック SCA)はこのDevSecOpsを実現するための重要なツールの一つで、ソースコードやバイナリに含まれるオープンソースソフトウェア(OSS)や依存ライブラリを自動的に検出・分析します。CI/CDパイプラインと連携することで、OSSに含まれる脆弱性やライセンスリスクを開発中に即座に特定し、問題のあるコンポーネントを可視化。さらにSBOM(ソフトウェア部品表)の生成やポリシー違反の自動チェック機能により、開発スピードを損なうことなく、継続的かつ統制の取れたセキュリティ対策を可能にします。これにより、DevSecOpsの要となる“セキュリティのシフトレフト”を効果的に推進できます。
SBOM管理ツールの選び方
SBOM管理ツールの選び方に迷っていませんか?脆弱性対応・ライセンス管理・DevSecOps推進に必須の基本機能から比較ポイント、最新ツールの特徴まで徹底解説!
Black Duck SCA(ブラックダックSCA)は大きく2つのプランに分かれており、年間サブスクリプションで提供されています。利用人数や、オプションなどによって変動するため、具体的な価格はお問い合わせください。
企業全体に包括的なオープンソースのリスク管理ソリューション
組織全体で活用できるソフトウェア・サプライチェーン・セキュリティおよびリスク管理ソリューション
製品・サービスの信頼性を高める「Black Duck SCA」とマクニカ社、富士ソフト連携によるサポート力でお客様をご支援いたします
✖ ✖
Black Duck(ブラックダック)社の「Black Duck SCA」は、OSS/SBOMを統合管理し、企業の課題解決に寄与する多機能なツールです。マクニカ社は同製品群に精通した提案力・技術力と幅広いセキュリティ知見を有しています。富士ソフトは製品開発・検証で培った高度な技術と豊富な実績、製造業への深い理解と信頼を強みとしています。
導入に対する不安
ツールのスペシャリストによる万全のサポート体制で対応いたします。
脆弱性に対する修正
豊富なサポート機能に加え、様々な業界のお客様への開発・運用サポート・導入支援の実績を持つ富士ソフトが、万全のサポートで対応いたします。
証明書や インシデント報告
OSSバージョンチェックアラートや脆弱性の早期検知、最新対処情報の提供など、強力な解析機能と圧倒的な情報量でお客様製品やサービスをサポートいたします。
Black Duck SCAの お見積り・ご相談はこちら
SAST: Static Application Security Testingとは、静的アプリケーションセキュリティテストの略で、ソフトウェアのソースコードやバイナリを実行せずに解析し、セキュリティ脆弱性やバグを検出するセキュリティテスト手法です。主に自社で開発したソースコード内のセキュリティ欠陥検出ものです。SASTに対応したツールとして、Coverityなどが知られており、Black Duck SCA(ブラックダックSCA)などのOSSのリスク管理を行うコンポジション解析ツールと併用して使われます。Seekerは、アプリケーション・ポートフォリオ内のすべての既知および未知のAPIを検知が可能で、CI/CD開発ワークフローにおける展開およびスケーリングも容易です
DAST(Dynamic Application Security Testing)とは、動的アプリケーションセキュリティテストのことをいい、アプリケーションを実行した状態で外部から脆弱性を検査する手法です。実際のWebアプリやAPIに対して攻撃シナリオを模したテストを行い、SQLインジェクションやXSSなどの実行時に発生する脆弱性を検出します。ソースコードに依存せず、ブラックボックス型のセキュリティテストとして、本番環境に近い挙動を確認できるのが特徴です。DASTのツールとしては、Saas形式で提供されるContinuous Dynamicなどがあります。
SAST(静的解析)とDAST(動的解析)の長所を組み合わせた次世代のアプリケーションセキュリティテスト手法で、アプリケーションを実行しながら内部の動作(コード)と外部の振る舞い(実行時挙動)の両方をリアルタイムで解析し、脆弱性を高精度に検出する手法です。Back DuckのSeekerがインタラクティブ・アプリケーション・セキュリティ・テストソリューションとして知られています。
ファジング(Fuzzing)とは、ソフトウェアの脆弱性やバグを発見するために、意図的に異常なデータや予期しない入力(ファズ:fuzz)を大量に送り込み、ソフトウェアの挙動を監視するテスト手法で、通常Defensicsなどのツールを使って行われます。
CyRCとは、Black Duck SCA(ブラックダックSCA)内に設置されたソフトウェアの安全性向上とセキュリティコミュニティへの貢献を目的に活動しています。 静的解析(SAST)、構成解析(SCA)、動的解析(DAST)、ファジング、IASTなど多手法を駆使しながら、独自の手法で脆弱性を発掘し、防御策を研究しており、脆弱性に関わる調査結果を公開しています。
OpenChainはOSSコンプライアンス管理の国際規格(ISO/IEC 5230)で、組織がOSSを安全に利用するための最低限のプロセスや体制を定めています。Black Duck SCA(ブラックダックSCA)はOSS管理を実務で支援するツールであり、コードやバイナリを自動スキャンしてライセンスや脆弱性を特定し、SBOMを生成するなど、OpenChain準拠体制の実効性を担保します。つまり、OpenChainが「ルールブック」としてサプライチェーン全体の信頼を築く基盤であるのに対し、Black Duckはそのルールを現場で実践し、ライセンスリスクやセキュリティリスクを可視化・管理する「武器」として位置づけられます。
ページTOPに戻る
※Black Duck®はBlack Duck Software, Inc.の米国およびその他の国における登録商標です。
お探しの組み込み製品はキーワードで検索!
お問い合わせ