IoTセキュリティ診断
IoT 機器に対して適切と思われる診断プランをもとに、セキュリティのテスト手法を駆使して網羅的な診断を実施します。
IoTセキュリティとは
従来の機器の前提
これまでの機器は、単独動作が前提で開発されていたため、機器同士が繋がったり自宅から外にネットワークすることはありませんでした。(家庭向けIoT機器を想定)
IoT機器の前提
IoT機器はクローズドな世界から飛び出して、外部(インターネット)との繋がりを前提とした機器となっています。
IoT機器は、利用者に応じたあらゆるデバイスの種類が存在し、手軽に構築して利用することが可能です。便利である一方で、利用者のITリテラシーには隔たりがあり、セキュリティ侵害に気付く可能性も低いです。
さらにはセキュリティ侵害により情報だけでなく、生活環境へ影響することも懸念されています。
| ますます、IoTセキュリティ対策が重要となってきています |
|---|
IoTセキュリティ診断の課題と内容
- 何から取り組めば、よいかわからない
- テストの手法がわからない
- 対象となる既知の脆弱性を洗い出すのに手間がかかる
- 自動診断ツールもあるが使い方がわからない
- 人材が不足している
当社はセキュリティ基準要件を前提に、IoT機器に対して適切な診断項目を選定し、セキュリティのテスト手法を駆使して網羅的な診断を実施します。
IoTセキュリティ診断の課題と内容
| ガイドライン等に沿った診断・認証 | |
|---|---|
| 概要 | 機関、組織、または業種等で定められた規約やガイドラインに沿ったセキュリティ要件を試験する必要がある際にご検討いただけます。 |
| 該当診断サービス | ・ETSI EN303 645に沿った診断 等 ・電気通信事業法認証取得のセキュリティ基準要件に基づく診断 |
| 第三者検証による診断実施 | |
| 概要 | 第三者検証によって、当事者では気づかない脆弱性を検出し、信頼性の高い製品の提供、または製品開発に専念するために外部機関へ検証を依頼する等、目的に応じてご検討いただけます。 |
| 該当診断サービス | ・OWASP IoT TOP10に基づく診断 ・自社IoT製品のセキュリティ担保、信頼性確保を視野に入れた診断 等 |
IoTセキュリティの課題や目的に応じて診断いたします!
IoTセキュリティ診断 提供内容
 |
|---|
ガイドライン・規約等に沿った診断ガイドラインに沿った試験項目で概念テスト、機能テストを実施することで、 自社製品がガイドラインに沿ってどこまで対応できているか確認ができ、 今後のIoTセキュリティ動向に沿った一歩先を見据えた診断が可能になります。詳細はこちら |
 |
「OWASP IoT TOP10に基づく診断」IoTセキュリティのデフォルトスタンダードのOWASPの項目に基づいてテスト を実施することで、自社製品のセキュリティが、機能的にどこまで対策されて いるか包括的に把握がすることが可能です。詳細はこちら |
 |
ご希望に沿ったテストの実施第三者検証評価としてセキュリティの専門性の高い試験のみに絞り、 弊社に依頼することで学習コストを減らし、費用対効果が 高いテスト結果を得ることができます。詳細はこちら |
ガイドライン等に沿った診断
EN18031に沿ったセキュリティ診断サービス
| ① 技術サポート |
|---|
| 適合性評価に必要なドキュメ ント作成 (Required information) |
| 弊社提供のヒアリングシートにご記入、各ドキュメントをご提供頂き、弊社でRequired informationを作成致します。 |
| ② 試験 (要件の確認) |
| Applicability Conceptual Appropriate Conceptual |
| 設計やコンセプト観点で機器がどのようなセキュリティ要件を満たすべきかという基本的な概念を確認します。 |
| ③ 試験 (概念・機能テスト) |
| Applicability Functional Appropriate Functional |
| セキュリティ設計が正しく適用され、機能的にも、運用でも、Required information通りに機能しているか確認を行います。 |
IoT機器の電気通信事業法認証に基づく診断
「端末設備等規則及び電気通信主任技術者規則の一部を改正する省令(平成31年総務省令第12号)」が公布され、2020年4月1日から電気通信事業法の認証が必要なIoT機器は、最低限のセキュリティ対策の実装が必須となりました。
▼技術基準に追加された最低限のセキュリティ機能
- アクセス制御機能
- 初期設定のパスワードの変更を促す等の機能
- ソフトウェアの更新機能(又は1~3と同等以上の機能)
登録認定機関にて審査と試験実施、もしくは
登録認定機関にて審査+セキュリティ評価機関に試験委託が必須です
当社は認証機関とパートナー提携を結んでおります。当社の技術試験・テストによるご提供はもちろん、ご検討の規約やガイドラインによっては、認証部分を含めてご相談いただけます。
OWASP IoT TOP10に基づく診断
「OWASP IoT Top 10」とは
OWASPが2014年に発足したOWASP Internet of Thingsプロジェクトの成果物の一つとして公表したもので、IoTにおいて脆弱性を生じやすい10のポイントが整理され、注意点が示されています。
| No. |
|---|
| 1 |
| 2 |
| 3 |
| 4 |
| 5 |
| 6 |
| 7 |
| 8 |
| 9 |
| 10 |
| カテゴリ |
| 強度の弱いパスワード、推測可能なパスワード、またはパスワードのハードコード |
| 安全でないネットワークサービス |
| 安全でないエコシステムインターフェース |
| 安全でない更新メカニズム |
| 安全でない、または古いコンポーネントの使用 |
| 不十分なプライバシー保護 |
| 安全でないデータの転送と保存 |
| デバイス管理の欠如 |
| 安全でないデフォルト設定 |
| 物理的なハードニングの欠如 |
| 診断項目 |
| パスワードの強度の確認、等 |
| ポートスキャン、実行中のサービスの検出、等 |
| ファームウェアの搾取、等 |
| 改ざんされたファームウェアによる更新、等 |
| ライブラリ、フレームワークの既知の脆弱性調査、等 |
| 平文による内部ストレージへの重要情報保存、等 |
| 通信パケットキャプチャ、暗号化強度の確認、等 |
| - |
| 安全でないデフォルト設定の確認 |
| 物理インターフェースの各診断項目 |
OWASP IoT TOP10に基づいた項目を診断いたします。
ご要望に応じて最適な診断項目を調整し、ご提供することも可能です。
ご希望に沿ったテストの実施
IoT機器に対して適切と思われる診断項目を選定し、セキュリティのテスト手法を駆使し手動でのテストや自動テストツールを組合せて網羅的な診断を実施します。
IoTセキュリティ診断のテスト手法例(一部を掲載)
| 脆弱性テスト |
|---|
| 既知の脆弱性がないかテストし検証します。 |
| ファジングテスト |
| 予測していないデータを与え、例外の動作を検証します。 |
| ペネトレーションテスト |
| 開発者が想定しない脆弱性が存在しないか、 また実際に既知の技術を駆使し侵入が行えないかを検証します。 |
IoTセキュリティ診断提供の流れ
STEP1
ヒアリング
現状の状況や環境を把握するのに必要な情報を、ヒアリングさせていただきます。 具体的にはヒアリングシートのご入力、またはお打ち合わせ等により内容を確認させていただいたうえで、適切な対応方法や診断範囲を検討し御見積りいたします。
- 対象機器情報
- 実施期間
- システム環境状況 等
STEP2
診断実施
ヒアリングした内容をもとに、診断対象に対して脆弱性の調査を実施いたします。 診断実施にあたり、進捗を報告しながら対応させていただきます。
STEP3
診断結果のレポート報告
検出した脆弱性の分析結果の報告と影響範囲は対策方法についてご説明させていただき、優先度順位付けや解決策の提案をします。
- 診断結果報告
- 解決方法提案
- 再診断・報告会が必要な際は対応させていただきます
IoTセキュリティ診断 サービス価格
IoTセキュリティ診断サービスの費用につきましては、ヒアリングをさせていただきながら、診断対応となる機種に合わせて御見積を算出してご提出いたします。
概算希望等についても、ご相談に応じて調整いたしますので、まずはお気軽に以下のお問い合わせフォームからご連絡ください。
セキュアイノベーション サービス一覧
