セキュリティテストのCheckmarxがオープンソースサプライチェーンのセキュリティを確保するDusticoを買収

今回は「セキュリティテストのCheckmarxがオープンソースサプライチェーンのセキュリティを確保するDusticoを買収」についてご紹介します。

関連ワード (Checkmarx、オープンソース、サプライチェーン、ランサムウェア、買収等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


イスラエルの静的なアプリケーションセキュリティテスト(application security testingm、AST)のプロバイダーであるCheckmarxが、オープンソースのサプライチェーンセキュリティのスタートアップDusticoを、価額非公開で買収した。

2020年に創業されたDusticoは、機械学習を用いた動的なソースコード分析を提供し、ソフトウェアのサプライチェーンの中に悪質な攻撃やバックドアを検出する。

この買収でCheckmarxは、同社の静的なASTにDusticoの行動分析技術を組み合わせて、顧客にオープンソースパッケージの、リスクと評判の一体化したビューを与える。そしてその結果、ソフトウェアサプライチェーンの攻撃を防ぐためのより総合的なアプローチが得られる。

関連記事:世界を手中に収めたオープンソースソフトウェア

この買収は、サプライチェーンの攻撃が急増している最中に行われ、そこでは攻撃者が悪質なコードを信頼されているソフトウェアやハードウェアに忍び込ませている。2020年12月には、ロシアのハッカーがソフトウェア企業SolarWindsを侵犯して同社のIT管理ツールOrionに悪質なコードを植えたことが明らかとなった。後にロシアの対外諜報サービスであることが判明したそのハッカーは、そのコードのおかげで、Orionソフトウェアを使っている18000ものネットワークにアクセスできた。

関連記事:2020 was a record year for Israel’s security startup ecosystem(未訳、有料記事)

Dusticoの技術はSonatypeが提供しているものと似ており、三段構えのやり方でオープンソースのパッケージを分析する。最初は信頼性に着目して、パッケージのプロバイダーとオープンソースのコミュニティの住人である個々のコントリビューターの間の信頼性を可視化し、次にパッケージの健全性を調べて、そのメンテナンスのレベルを判定する。そして最後は、Dusticoの高度なビヘイビア分析エンジンがパッケージを調べて、そこに隠れている悪質な攻撃やバックドア、ランサムウェア、多段階攻撃、そしてトロイの木馬などを見つける。

両社によると、この洞察結果にCheckmarxのASTソリューションが組み合わさり、企業や開発者に、オープンソースとそれに依存しているサプライチェーンに結びついているリスクを管理するための、より大きな洞察力を与える。

CheckmarxのCEOであるEmmanuel Benzaquen(エマニュエル・ベンザケン)氏は次のように述べている。「DusticoとそのチームをCheckmarxを迎えることにより、イスラエルのテクノロジーのエコシステムはサイバーセキュリティのイノベーションと才能をさらに拡大できます。オープンソースの分析に対するDusticoの他と差別化されたアプローチと、Checkmarxのセキュリティテスト能力がブレンドして、顧客に現状打破的な価値をもたらし、ソフトウェアのサプライチェーンが抱えるセキュリティの課題を管理できるようになる」。

Dusticoを買収する前の2020年3月には、Checkmarxはプライベート・エクイティ企業Hellman & Friedmanに11億5000万ドル(約1267億5000万円)の評価額で買収された。さらにさかのぼって2015年には、同社は8400万ドル(約92億6000万円)の投資でInsight Partnersに身売りした。

関連記事
・スパイウェア「Pegasus」が政府批判を行う女性ジャーナリストのスマホから写真を盗むために使われた疑惑が浮上
・米国防総省がセンサー・AI・クラウドを組み合わせ「数日先の異変を察知」する未来予知システム「GIDE」開発中
・産業用サイバーセキュリティのNozomi NetworksがIPO前に約110億円調達

画像クレジット:Dmitry Bairachnyi/Getty Images


【原文】

Checkmarx, an Israeli provider of static application security testing (AST), has acquired open-source supply chain security startup Dustico for an undisclosed sum. 

Founded in 2020, Dustico provides a dynamic source-code analysis platform that employs machine learning to detect malicious attacks and backdoors in software supply chains. 

The acquisition will see Checkmarx combine its AST capabilities with Dustico’s behavioral analysis technology to give customers a consolidated view into the risk and reputation of open-source packages, and, as a result, a more comprehensive approach to preventing supply chain attacks. 

The deal comes amid a sharp rise in supply chain attacks, in which threat actors slip malicious code into a trusted piece of software or hardware. Last December, it was revealed that Russian hackers had breached software firm SolarWinds to plant malicious code in its IT management tool Orion. This allowed the hackers — later identified as Russia’s Foreign Intelligence Service (SVR) — to access as many as 18,000 networks that used the Orion software.

Dustico’s technology, which is similar to that offered by Sonatype, analyses open-source packages using a three-pronged approach. First, it factors in trust, providing visibility into the credibility of package providers and individual contributors in the open-source community, then it examines the health of packages to determine their level of maintenance. Finally, Dustico’s advanced behavioral analysis engine inspects the package and looks for malicious attacks hiding within, including backdoors, ransomware, multistage attacks and trojans. 

This insight, coupled with vulnerability results from Checkmarx’s AST solutions, aims to give organizations and developers greater insights for managing the risks associated with open-source and the supply chains dependent on them, according to the two companies.

“We’re thrilled to welcome Dustico and its team to Checkmarx as the Israeli tech ecosystem continues to push the boundaries of cybersecurity innovation and talent,” said Emmanuel Benzaquen, CEO of Checkmarx.  “Blending Dustico’s differentiated approach to open-source analysis with Checkmarx’s security testing capabilities will bring disruptive value to our customers as they manage the challenges with securing software supply chains.”

The acquisition of Dustico comes after Checkmarx was bought by private equity firm Hellman & Friedman at a valuation of $1.15 billion in March 2020. Prior to this, in 2015, the company was sold to Insight Partners with an $84 million investment. 

(文:Carly Page、翻訳:Hiroshi Iwatani)

ランサムウェアとは・・ - 警察庁

ランサムウェアとは・・. ランサムウェア ( Ransomware )とは、「 Ransom (身代金)」と「 Software (ソフトウェア)」を組み合わせて作られた名称であり、コンピュータウィルスの一種です。. このウィルスに感染するとパソコン内に保存しているデータを勝手に暗号化されて使えない状態になったり、スマートフォンが操作不能になったりしてしまいます。. また、感染し ...

ランサムウェア - Wikipedia

ランサムウェア(英語: Ransomware )とは、マルウェアの一種である。これに感染したコンピュータは、利用者のシステムへのアクセスを制限する。この制限を解除するため、マルウェアの作者が被害者に

ランサムウェアとは?感染経路や対策についてもわかりやすく ...

ランサムウェアとは、 感染した端末やそこに保存されているファイルを使用不能にし、その解除と引き換えに身代金(Ransome)を要求するマルウェア*(Malware) のことです。

ランサムウェア対策特設ページ:IPA 独立行政法人 情報処理 ...

情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施

ランサムウェアはマルウェアと何が違うのか? | サイバー ...

ランサムウェアは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた造語である。ランサムウェアに感染すると、多くの場合、パソコンに保存したファイルやハードディスクが暗号化されてしまい、アクセスができ

ランサムウェアとは?〜「ランサムウェア」の基本と対策 ...

 · ランサムウェアとは「身代金(ランサム=Ransom)を要求するマルウェア(Malware)」を指し、「身代金要求型不正プログラム」とも呼ばれます。感染したコンピュータを強制的にロックしたりの中にあるファイルを暗号化して、制限の解除

ランサムウエア感染で“身代金”要求 日本企業で被害相次ぐ ...

【NHK】企業のパソコンなどに保管してあるデータを暗号化して、その解除と引き換えに身代金を要求し、支払いを拒んだ場合には、盗み取っ…

2021年も増加傾向のランサムウェア、被害に関する共通点とは ...

IPA『情報セキュリティ10大脅威』(2021)では、「ランサムウェアによる被害」が組織部門1位と、ランサムウェアによる攻撃に警戒を促しています。サイバー救急センターへの問い合わせ増加を受けて、ランサムウェアの動向とご相談から見えた共通点をご紹介します。

【2021年最新】ランサムウェアの進化した攻撃の手口と被害の ...

ランサムウェアとは「感染するとデータを暗号化し読めなくして身代金を要求する」卑劣な不正プログラムです。カプコンやホンダなどに日本企業も狙われ、個人や中小企業、海外では学校・病院などの公的機関にも被害が広がっています。ランサムウェアとはなにか?またカプコンをはじめとする被害の事例について2020年から21年の最新情報をわかりやすく解説します。

「新たなランサムウエア攻撃が目立った」、IPAの情報 ...

 情報処理推進機構(IPA)は2021年7月30日、情報セキュリティ白書2021を発刊した。同白書では新たなランサムウエア攻撃やサプライチェーン攻撃などを取り上げている。

COMMENTS


56489:
2021-08-09 22:26

豪元首相「世界的サプライチェーンで中国に置き換わるべきはインド」 India Should Take Beijing’s Place in Global Supply Chains: Former Prime Minister…

56479:
2021-08-09 20:26

機微技術は当然に安全保障の対象となるのでチャイナ外しは自然としても、「全部まるっとチャイナ断行」みたいな粗い議論が言論宗教化すると危険よぬ。 「領域ごとにメリハリある」「部分的にはチャイナをサプライチェーンに含めて逆にチャイナからの攻撃を回避するカードに…

56477:
2021-08-09 19:53

自動車メーカーは 米国の販売台数が 季節調整済み年間レート(SAAR)が 4月の1,850万台から 7月に1,475万台へと20%減の理由を、半導体を中心としたサプライチェーンの不足としている。 自動車の基礎的な需要が弱まり始め…

56488:
2021-08-09 18:45

「エバーレーン」に学ぶ“徹底した透明性”とは 「時代遅れのビジネスに変革を」 >サンフランシスコ発のオンラインSPAブランド「エバーレーン」は、“徹底した透明性”を理念に掲げ、倫理…

56487:
2021-08-09 16:44

AppleはミニLEDを搭載した、14インチ&16インチの新型MacBook Proの大量生産を開始したという情報。上流サプライチェーンの情報筋によると8〜11月の新モデルの月間出荷台数は60〜80万台になる見込み。…

56480:
2021-08-09 10:56

「経済安全保障を理由にチャイナ資本を総じてサプライチェーンから排除する」っていう新興宗教が流行ってるみたいなんですけど、 部分領域的ではなく低技術品まで含めちゃったら、日本は低生産性と高価格に直面し富が失われて、強大なチャイナと対峙するための日本の富&防…

56483:
2021-08-09 10:12

この国がロックダウンできないのはひとえに、国家や役人のやるサプライチェーンとロジスティクスが破綻してるから。

56491:
2021-08-09 09:49

要求と、それにどれぐらい応えられるのか、日本がサプライチェーン無条件でということもないと思いますし、でもその調整に無理難題がありすぎてもよくないと思いますし……。

56482:
2021-08-09 06:43

●経済 - サプライチェーンの問題は企業収益悪化の理由に使われている節がある。例えば自動車や住宅関連は需要弱い - 消費からサービスへのシフトが起きる ●インフレ、デフレ - インフレは一時的。グロース株の成長は強化されていく ●中国 - 投資…

56490:
2021-08-09 06:14

あまり良く知らないんですけど半導体の研究開発してるのは知ってたんですが、MCUやってるの知りませんでした。ISO26262 ASIL Dとか書いてあったので本気で市場取りに行くつもりなのかなと思いました。…

56478:
2021-08-09 05:29

"実現すれば、吉利の技術やサプライチェーン(供給網)、生産設備を用いて中国でルノーブランドのHVを生産・販売する。ルノーは販売とマーケティングを中心に担う" 仏ルノー、中国吉利とハイブリッド車合弁に向け枠組み合意 co/tbDPOD…

56485:
2021-08-09 04:41

弊社取引先のベトナム工場でもコロナで出勤率3割ぐらいしかなくサプライチェーン瀕死状態だけど他社部品が先に在庫欠して助かってる 東南アジアやインドの感染爆発って株価に本当に織り込んでるのか疑問でなかなか買いたくならないんだよな まだまだ業績相場の途上だとは思うけど

56481:
2021-08-09 02:50

少なくとも現在におけるサプライチェーンは民間の方が圧倒的に優れているので、国家配給を行うのであれば、最終的な配布拠点と引き換え方法をどうするかと言う点に絞られる。だとしても結局そこが弱いのが今の国。 やはり皆クソまみれで飢えて死ぬ覚悟を。

56484:
2021-08-09 01:27

サプライチェーンの多様化じゃないですかね? 自社とはいえ、 一社に偏らせることは危険極まりない(。•̀ᴗ-)✧

56486:
2021-08-09 01:26

豪元首相「世界的サプライチェーンで中国に置き換わるべきはインド」 India Should Take Beijing’s Place in Global Supply Chains: Former Prime Minister 法治国…

Recommended

TITLE
CATEGORY
DATE
RubyのWebAssembly/WASIへの移植が実現、プレリリース版のバイナリ公開。RubyGemsにも対応
Ruby
2022-04-04 20:03
「不確実性」は言い訳、IT部門が次世代に向けてすべきこと–ガートナー・長谷島氏
IT関連
2024-01-12 00:59
GitHub、コードのコントリュビュータに2要素認証を義務化、2023年末までに。パスワードレスへの対応も積極化
FIDO/WebAuthn
2022-05-09 04:34
SpaceXが開発中の新型宇宙船「Starship」初軌道投入試験の7月実施を目指す
宇宙
2021-06-30 22:33
ドコモとKDDI、回線解約ページを検索エンジンから隠ぺい 総務省の指摘受け修正
企業・業界動向
2021-02-27 10:13
北朝鮮ハッカー、偽企業を立ち上げセキュリティ研究者を攻撃–グーグルが指摘
IT関連
2021-04-02 05:42
AWS、「IoT TwinMaker」、新「Aurora Serverless」のGAなど–AWS Summit
IT関連
2022-04-24 19:14
コロナ禍の影響で業務アプリの利用が大きく変動–Okta調査
IT関連
2021-02-01 00:19
セキュアワークス、2023会計年度の事業戦略–次期成長戦略「セキュアワークス2.0」を明らかに
IT関連
2022-05-21 02:36
企業秘密を盗用されたと主張するWisk AeroのArcher Aviationに対する仮差止請求を連邦判事が却下
モビリティ
2021-07-27 22:07
“リコール署名偽造バイト”求人載せた可能性 バイトアプリ「タイミー」が謝罪
社会とIT
2021-02-19 04:01
NVIDIAのGPUを使って生細胞の3Dシミュレーションを作成–イリノイ大学
IT関連
2022-01-25 12:58
「バーチャル渋谷」に新エリア 「渋谷モディ」前を再現
企業・業界動向
2021-04-21 05:28
一橋大学、KDDIらと連携し次世代の位置情報データ解析人材育成
IT関連
2024-11-01 06:10