脆弱性検証―何をどこまで実施すれば良い？

IoT機器に十分なセキュリティ対策が必要であることは常識となりつつあるものの、「IoTセキュリティ検証をどこまでやればよいのか分からない」という現場の声も多く聞かれます。実際にセキュリティ対策の取り組みを開始すると、セキュリティ検証を行うにあたり人材確保、体制構築、IoT機器の製品特性に合わせた検証の進め方、難解なガイドラインの解釈など様々な課題に直面します。

IoT機器のセキュリティ検証どこから手を付けるべきか、そしてどこまでやるべきかについて、技術面と運用面に分けて考えてみます。

技術面

まずは、製品の攻撃経路になりうるI/Fの洗い出しから始めます。IoT機器ごとに多様なI/Fを搭載しているため、どこから攻撃されそうなのか、そのリスクを検討する。攻撃はネットワーク以外のI/F（USB、Bluetoothなど）にも存在するので要注意です。

次に、攻撃者視点でアプローチを考え、IoT機器の特性に応じたテスト環境を構築します。

そして、組込み機器の視点での解析となりますが、そもそも人手でテストケースやパターンを作成するには時間的にもコスト的に限界があります。
例えばファジングテストで4byteのパケットを流すにしても、8bit×4byte＝32bit、すなわち2の32乗＝42億個の組み合わせで総当たりしなければなりません。

自動化はもちろん、あらかじめ過去の脆弱性や攻撃者の視点でシナリオを持ったツールを活用して、効果的なテストを行うことが肝要です。

運用面

まずは、現行モデルの問題点の可視化が大切です。本来、上流工程の設計段階からセキュリティを考慮できれば理想的ですが、開発期間もコストも膨大なものになってしまいます。
したがって、現行モデルから入り、フィードバックできるような問題点をみつけて、次世代のモデルに反映していくことが現実解となります。

また、ユーザーからセキュリティ要件を受けてメーカーが対応する場合は、なかなか迅速に検証できないことも多々あります。
そこで、セキュリティパートナーに検証業務を委託することにより、リードタイムの短縮や、第三者視点での客観的なエビデンスの提示を受けることができます。

効率的な脆弱性検証を実現するには

ここまでの技術面と運用面の両方のポイントを踏まえ「何から手を付けて、どこまでセキュリティ検証を行えばよいのか」の問いに対する答えは、「まず始めてみることが重要」ということになるでしょう。セキュリティ対策は「進化し続けなければならないもの」であり、機器の特性にあった最適解を考える必要があるからです。

また、機能・サービス・I/F単位でセキュリティの課題が発生するため、「本当に求められる機能を絞り込み、不要な機能を搭載しないこと」が安全性を高めるもう一つの答えになるでしょう。

自社での解決だけでは限界があるため、検証ツールの導入やパートナーとの連携、他社の事例なども参考にして、セキュリティ検証のカバレッジを考えると良いでしょう。

実績あるセキュリティ検証サービス

当社では、ライフサイクルに合わせてIoTセキュリティ検証フレームワークbeSTORMおよび脆弱性検証スキャンツール、独自のスクリプト等を使用した脆弱性診断サービス、セキュリティ定期健診サービスなどを提供しています。

一般的にIoT機器のセキュリティ検証にはお客様が必要とする要件の決定に想定以上の時間がかかることが多く、結果として検証作業が完了するまでに半年以上かかるケースもあり、製品スケジュールに間に合わなくなることも少なくありません。

数多くの機器に検証サービスを実施した経験のある当社と相談の機会を持つことで、タイムリーな対応を実現し、機器の安心・安全を目指しませんか？