ファジングの限界

ファジングは、ブルートフォース攻撃(総当たり攻撃)を主とする検査手法です。大変重要、かつ有効な検査手法である一方、個々のテストケースの作成とそれらの実施には、多大な時間と労力が必要とされます。このため、非常に短い期間での開発を要求される昨今のプロジェクトでは、できる限り効率的なアプローチが求められます。

ファジングの限界(イメージ画像)

また、ファジングの特長は、単一のテストデータによる脆弱性検出ができることです。この特長を最大限に活かすには、攻撃シナリオや改ざんするデータを意識した攻撃モジュールを作成し、脆弱性が潜んでいそうな箇所を狙って検証することが重要です。

独自の攻撃シナリオやデバイス専用の攻撃モジュールの作成をユーザー自身で行えれば、正常なHTTPリクエストに対して、URLに含まれる特定の可変フィールドのみをデータ改ざん対象とし、攻撃を仕掛けるようなモジュールをユーザーが簡単に作成できます。

HTTPリクエストとレスポンス

また、組込み機器の場合は、情報システム系の機器とは異なり、OSから通信インタフェースまでの通信方式が機器によって違い、組み合わせが多様になりがちなため、これらを個別に考慮した試験環境を構築する必要があります。

beSTORMでは、機器ごとの環境構築をサポートするために、ユーザー定義インタフェースドライバーの作成や機器の挙動監視モニターとの連動機能を提供しており、汎用のファジングツールの限界を超えた使用が可能です。

網羅的アプローチであるファジングとユーザー定義のインテリジェントな攻撃を使って、脆弱性・セキュリティ検証を始めてみませんか。

このコラムの著者
株式会社ユビキタスAI エンベッデッド第3事業部 永井玲奈

株式会社ユビキタスAI

エンベデッド第3事業部

永井 玲奈​(ながい れな)

長年、組込みソフトウェアの営業・製品マーケティングに携わる。現在はユビキタスAIでIoT機器セキュリティ検証サービス事業の営業およびプロダクトマーケティングを担当。医療機器、車載製品、民生品などあらゆる機器を製造する大手製品ベンダーの多岐に渡るセキュリティ課題解決に取り組む。

より詳しく技術や関連製品について知りたい方へ

お気軽相談

本コラムに関係する技術や関連する製品について知りたい方は、お気軽にご相談ください。


製品情報

デバイス脆弱性テスト

IoT機器セキュリティ検証サービス

あらゆる機器のファジングから規格準拠支援までエキスパートが伴走
製品ページを見る

各国のIoT製品セキュリティ確保のための取り組み:シンガポール ―サイバーセキュリティラベリングスキーム(CLS)

コラムを読む

各国のIoT製品セキュリティ確保のための取り組み:欧州

コラムを読む

太陽光発電と蓄電池システムの脆弱性:安全なエネルギーのためのセキュリティ対策

コラムを読む

各国のIoT製品セキュリティ確保のための取り組み:日本

コラムを読む

もう待てない、サイバーレジリエンス法対策

コラムを読む

各国のIoT製品セキュリティ確保のための取り組み: 英国

コラムを読む

ソフトウェアテストの新常識:ファジング入門

コラムを読む

JIS T 81001-5-1に準拠した医療機器のセキュリティ対策

コラムを読む

各国のIoT製品セキュリティ確保のための取り組み:米国

コラムを読む

サプライチェーン攻撃と脆弱性テスト

コラムを読む

セキュリティ規格について

コラムを読む

ファジングとは?

コラムを読む

脆弱性検証―何をどこまで実施すれば良い?

コラムを読む

HEMS機器の脆弱性検証

コラムを読む