IoTセキュリティ診断
IoT 機器に対して適切と思われる診断プランをもとに、セキュリティのテスト手法を駆使して網羅的な診断を実施します。
IoTセキュリティとは
従来の機器の前提
これまでの機器は、単独動作が前提で開発されていたため、機器同士が繋がったり自宅から外にネットワークすることはありませんでした。(家庭向けIoT機器を想定)
IoT機器の前提
IoT機器はクローズドな世界から飛び出して、外部(インターネット)との繋がりを前提とした機器となっています。
IoT機器は、利用者に応じたあらゆるデバイスの種類が存在し、手軽に構築して利用することが可能です。便利である一方で、利用者のITリテラシーには隔たりがあり、セキュリティ侵害に気付く可能性も低いです。
さらにはセキュリティ侵害により情報だけでなく、生活環境へ影響することも懸念されています。
| ますます、IoTセキュリティ対策が重要となってきています |
|---|
IoTセキュリティ対策に関する技術基準改正への対応
「端末設備等規則及び電気通信主任技術者規則の一部を改正する省令(平成31年総務省令第12号)」が公布され、2020年4月1日から電気通信事業法の認証が必要なIoT機器は、最低限のセキュリティ対策の実装が必須となりました。
▼技術基準に追加された最低限のセキュリティ機能
- アクセス制御機能
- 初期設定のパスワードの変更を促す等の機能
- ソフトウェアの更新機能(又は1~3と同等以上の機能)
登録認定機関にて審査と試験実施、もしくは
登録認定機関にて審査+セキュリティ評価機関に試験委託が必須です
当社セキュアイノベーションは登録認定機関であるビューローベリタスジャパン株式会社とパートナーシップを締結しているため、診断のみならず、技術基準適合証明マークに係る認証番号および認証書の発行など、IoT機器に求められるセキュリティに関して包括的なサービスがご提案可能です。
IoTセキュリティ診断の課題と内容
- 何から取り組めば、よいかわからない
- テストの手法がわからない
- 対象となる既知の脆弱性を洗い出すのに手間がかかる
- 自動診断ツールもあるが使い方がわからない
- 人材が不足している
当社セキュアイノベーションでは、セキュリティ基準要件を前提に、IoT機器に対して適切な診断項目を選定し、セキュリティのテスト手法を駆使して網羅的な診断を実施します。
| 脆弱性テスト |
|---|
| 既知の脆弱性がないかテストし検証します。 |
| ファジングテスト |
| 予測していないデータを与え、例外の動作を検証します。 |
| ペネトレーションテスト |
| 開発者が想定しない脆弱性が存在しないか、 また実際に既知の技術を駆使し侵入が行えないかを検証します。 |
IoTセキュリティ診断プラン
試験範囲を選択できる、4つの診断プランをご用意しております。
| Basic診断 |
|---|
| 総務省の電気通信事業法に基づく端末機器の基準認証に基づく、認証項目を主に検査実施します。 また、強度なパスワードのチェック、ポートスキャン、IoTIFへの脆弱性診断等、IoT機器の基本的なセキュリティの考慮すべき点に絞り診断を行います。 特にアカウント制御の試験では、マルウェア内ビルドインされたパスワード等も用いて試験を実施します。 |
| Lite診断 |
| 総務省の電気通信事業法に基づく端末機器の基準認証に基づく、認証項目の検査及び、IoT機器の通信先のサーバも含め、基本的なセキュリティの考慮すべき点の診断を行います。 |
| Standard診断 |
| 総務省の電気通信事業法に基づく端末機器の基準認証に基づく、認証項目の検査及び、IoT機器の通信先のサーバや通信の暗号化強度も含め、セキュリティの考慮すべき項目の診断を行います。 |
| Enterprise診断 |
| 総務省の電気通信事業法に基づく端末機器の基準認証に基づく、認証項目の検査及び、IoT機器の通信先のサーバや通信の暗号化強度も含め、セキュリティの考慮すべき項目の診断を行います。 |
ファームウェア脆弱性診断(オプション)
オプションでファームウェアの脆弱性診断も可能です。すべての診断プランに追加できます。
- IoTのファームウェアの脆弱性を解析します。
- ファームウェアのバイナリファイルから解析も可能です。
- ファームウェアで利用している構成要素情報の取得も可能です。
- CVEやCVSS情報を含め、実用的で詳細な脆弱性情報をレポートで提供します。
IoTセキュリティ診断 サービスの流れ
サービス提供までの流れについては、3STEPでご提供しております。 最初にヒアリングシートをご記入いただきまして、お見積もり対応させていただきます。
STEP1
ヒアリング
現状の状況や環境を把握するのに必要な情報を、ヒアリングさせていただきます。 具体的にはヒアリングシートのご入力、またはお打ち合わせ等により内容を確認させていただいたうえで、適切な対応方法や診断範囲を検討し御見積りいたします。
- 対象機器情報
- 実施期間
- システム環境状況 等
STEP2
診断実施
ヒアリングした内容をもとに、診断対象に対して脆弱性の調査を実施いたします。 診断実施にあたり、進捗を報告しながら対応させていただきます。
STEP3
診断結果のレポート報告
検出した脆弱性の分析結果の報告と影響範囲は対策方法についてご説明させていただき、優先度順位付けや解決策の提案をします。
- 診断結果報告
- 解決方法提案
- 再診断・報告会が必要な際は対応させていただきます
IoTセキュリティ診断 サービス価格
IoTセキュリティ診断サービスの費用につきましては、ヒアリングをさせていただきながら、診断対応となる機種に合わせて御見積を算出してご提出いたします。
概算希望等についても、ご相談に応じて調整いたしますので、まずはお気軽に以下のお問い合わせフォームからご連絡ください。
セキュアイノベーション サービス一覧
