.svg)
注目ベンチャー紹介:Binarly
2025
.
07
.
14
Written by Yuhei Yano
今回の注目ベンチャーの紹介はBinarlyです。
同社はファームウェアのバイナリレベルのセキュリティ解析に特化したスタートアップです
Binarly
サービス/プロダクト概要
- 独自の静的解析エンジンとリーチャビリティ分析(到達可能性分析)、EMS(Exploitation Maturity Score)、CBOM(Cryptographic Bill of Materials)などの先進的な評価指標を組み合わせ、ファームウェアを含む基礎レイヤーのソフトウェアに潜むリスクを可視化する。
- プロダクトは "Binarly Transparency Platform" を中核に、ファームウェアバイナリの解析、脆弱性管理、コンプライアンス対応(VEX対応、SBOM/CBOM生成)、サプライチェーンリスクの管理を一元的に支援する機能を備える。
特徴/提供価値
- 実行可能性に基づく静的解析:リーチャビリティ分析により、単なるCVE(Common Vulnerabilities and Exposures)列挙ではなく、実際に到達可能な脆弱性を可視化。
- EMS:脆弱性の悪用可能性を確率スコアではなく、文脈に基づいた段階評価で提供
- CBOM生成:ポスト量子暗号(PQC)などの暗号資産をバイナリから直接抽出・管理可能。
- PQC・NIST SP800-218対応:米国連邦政府の新ガイドラインに対応し、ガバナンス・調達要件を支援。
- VEX(Vulnerability Exploitability eXchange)対応:エンタープライズに求められる脆弱性除外の正当性証明を支援。
ビジネスモデル
- 年間契約ベースのプラットフォーム提供(SaaS)
- 一部政府・防衛系向けにはオンプレ対応や専用コンフィグで提供
市場動向・なぜこの会社なのか?
- SBOMはすでに多くの企業に普及していますが、実態として「脆弱性が多すぎて対応できない」ことが大きな課題となっている
- Binarlyはその課題に対し、到達可能性(Reachability)とEMSスコアにより、“本当にリスクがある脆弱性だけを浮かび上がらせる技術的優位性を持ちます。
- また、CBOMやPQC関連の透明性対応は、政府調達要件(EO 14028, NIST SP800-218)や米国防総省のZero Trust方針とも親和性が高く、エンタープライズ/公共系サプライチェーンにとって「Nice to Have」ではなく「Must Have」になりつつ
-
顧客・競合・パートナー
- 顧客:
- ハードウェアOEM(PC・通信機器メーカー)
- 自動車・航空宇宙・産業制御領域のTier 1ベンダー
- 政府・防衛関連機関
- パートナー:
- GWAC/IDIQ契約を持つ企業(例:Red River, DLT, Four Inc)
- Salesforce、Slack、HubSpotとのCRM統合
- 競合:
- Chainguard:コンテナベースSBOM/VEX対応だが、バイナリやファームウェアは非対応
- Eclypsium:BIOS/BMC領域をカバー、ただし独自スコアは持たず手動調査比重が大
- Runsafe Security:ランタイム保護が中心。静的評価・文脈理解はBinarlyが優位
- Reveng.ai、Metalware:ファームウェアへのファズなど特化型スタートアップだが、到達可能性分析などBinarlyほど包括的でない