デバイス脆弱性テストIoT機器セキュリティ検証サービス

あらゆる機器のファジングから規格準拠支援までエキスパートが伴走

デバイス脆弱性テスト IoT機器セキュリティ検証サービス

医療機器の新セキュリティ規格「JIS T 81001-5-1」を、ご存知ですか?

2023年4月1日より、医療機器や病院の情報システムを対象として、改定した薬機法が適用されており、JIS T 81001-5-1に準拠したサイバーセキュリティ対策が基本要件基準となっています。

経過措置期間:2024年3月末まで

現在開発中で2024年4月以降にリリースする機器においても新規格JIS T 81001-5-1に準拠した対応が求められます。

ユビキタスAIでは、新規格で求められているファジングテストを含むIoTセキュリティ検証サービスを提供しております。
まだ新規格への対応がお済みでない企業様は、お早めに当社までご相談ください。

組込みデバイスの開発では、常にセキュリティリスクを考慮する必要があります。IoTセキュリティ検証サービスは、組込みシステムと各種プロトコルの両方に精通したユビキタスAIのエンジニアが、ファジングツールbeSTORMおよび脆弱性スキャンツール、独自のスクリプト等を使用して、ファズテストや脆弱性スキャン、ペネトレーションテストを提供するサービスです。

IPA 情報処理安全確保支援士ロゴマーク

セキュリティテスト実施時の課題

  • セキュリティテストの何から始めて良いのかわからない。攻撃経路の特定が難しい。
  • 製品ごとに異常時の振る舞いが異なり、それぞれにエラー判定が必要。
  • サードパーティ製プロトコルスタックは外部委託開発のソフトウェア解析ができない。
  • 開発者・製造業者の立場からは攻撃のパターンを想定しにくい。
  • ユーザーからセキュリティ要件を受けても、第三者視点でのエビデンスを提示できない。

ユビキタスAIのセキュリティ検証サービスは、このようなお客さまの課題を解決します!

ユビキタスAIのセキュリティ検証サービスが選ばれる理由

1

検証環境の構築からレポート作成までエキスパートエンジニアが一括対応

検証環境の構築から検証の実施・レポートの作成までの全工程を、ユビキタスAIが請け負います。手間が減るだけでなく、他の製品への応用を考慮した試験環境の構築といった中長期的な視点での工程設計も可能です。

2

検証工程のコストを低減

ユビキタスAIのプロトコルに関する知見を持ったエンジニアが効率の高いセキュリティ検証環境を構築し、beSTORMを利用することで、固有の検証環境でも費用を抑えた検証が可能です。

3

個別要件にあわせた対応の柔軟性

一つの機器、一つのプロトコル、コネクティビティ単位で始められます。また、繰り返し本サービスを利用することで、各ステップでの報告書(検証結果)を確認しながら、次の検証(より深い深度での検証)を行うかどうかを決められます。

4

幅広いプロトコルに対応

Ethernet、Wi-Fi、Bluetooth/Bluetooth Low Energy、USB、NFCなどさまざまな通信インタフェースを標準サポート、独自プロトコルへの対応も可能です。

5

beSTORMを利用し、社内にノウハウの蓄積が可能

社内に検証ノウハウを蓄積したい場合には、beSTORMの利用権も含めてサービスを提供します。二回目以降、社内でbeSTORMを使って実施する場合にも、本サービスの成果物(オーダーメイドで作成した検証環境など)を継続的に利用できます。

業界別採用事例

ユビキタスAIのセキュリティ検証サービスは、
エレクトロニクス製品全般の製品メーカーで採用されています。

産業機器

1. 製品:PLC

実施内容  :ファジング
プロトコル例:WiFi、Ethernet

2. 製品:PLC

実施内容  :ファジング、パケット解析
プロトコル例:TCP/IP、HTTP、Modbus

医療機器

1. 製品:院内機器

実施内容  :ファジング、ペネトレーション、脆弱性スキャン
プロトコル例:WiFi、NFC

2. 製品:院内機器

実施内容  :ファジング、ペネトレーション
プロトコル例:有線LAN、無線LAN、NFC、RS-232C

車載機器

1. 製品:カーナビゲーション

実施内容  :ファジング、脆弱性スキャン
プロトコル例:Bluetooth、CAN

2. 製品:テレマティクスシステム

実施内容  :ファジング、ペネトレーション
プロトコル例:CAN、LTE、RS-232C、USB

民生機器

1. 製品:無線LAN搭載IoT機器

実施内容  :ファジング
プロトコル例:WiFi、Bluetooth、USB

2. 製品:コンピューティングデバイス

実施内容  :ファジング
プロトコル例:有線LAN、無線LAN、Bluetooth、USB

セキュリティテストの詳細な技術解説をご覧になりたい方

技術資料をダウンロードする

ファジングテストやファジングツールについての詳細をまとめたホワイトペーパーをご用意しています。

紹介動画(2分)

サービスの特長

対象地域

日本、およびアジア地域

検証可能プロトコル (一部抜粋)

Basic IPv4
Basic IPv6
Bluetooth/Bluetooth LE
Wi-Fi
VPN
Network Clients

Metro Ethernet
Mobile
Simple Network Clients
Routing
TLS
Tunneling

VOIP
CANbus/Automotive
Files
SCADA
USB

※未対応のプロトコルについてもカスタマイズによって対応可能です。

主な検証対象

CPU/OSに依存しないため、幅広い端末を検証対象とできます。

組込みデバイス全般
FA機器

サービスの流れ

  • お打ち合わせ

  • 検証メニュ選定

  • 契約締結

  • 検証実施

  • 報告書提出

関連技術コラム

  • 欧州のIoT製品セキュリティ確保のための取り組み

    2022年9月、欧州委員会はサイバーレジリエンス法(Cyber Resilience Act: CRA)を法案として提出し、2025年中の適用を目指して審議が行われています。この法律は、サイバーセキュリティ規則を強化し、より安全なデジタル製品が市場に流通されることを目的としています。

  • 米国のIoT製品セキュリティ確保のための取り組み

    2023年8月、FCC(米連邦通信委員会)は、IoT製品のサイバーセキュリティラベリングプログラム「U.S. Cyber Trust Mark」を2024年後半に運用開始すると公表しました。これは、米国連邦政府の支援と大手小売業者の参入による市場競争を通じて、IoT製品のセキュリティ水準を向上させるための取り組みです。

  • JIS T 81001-5-1に準拠した医療機器のセキュリティ対策

    2023年4月1日、厚生労働省告示第67号が通知され、医療機器の基本要件基準に「サイバーセキュリティを確保するための要件」が追加されました。2024年3月31日までの1年間を移行期間としていますが、移行期間終了後に機器の承認を申請する場合、機器メーカーは新規制への適合性を証明する必要があります。医療機器のセキュリティ規格JIS T 81001-5-1に準拠したサイバーセキュリティ対策として、ユビキタスAIでは医療機器セキュリティ検証サービスを提供しています。「コンサルティング」「脆弱性スキャン」「ファジングテスト」「ペネトレーションテスト」などのサービスメニューを用意し、お客様のご要望に応じた対応が可能です。

  • サプライチェーン攻撃と脆弱性テスト

    このたび、当社のIoT機器セキュリティ検証サービス事業を担当する永井が執筆したコラム「ファジングでIoT機器のセキュリティ対策を万全に!~第1回 サプライチェーン攻撃と脆弱性テスト」が、Japan Security SummitのSpecial Editionブログで掲載されました。近年、急増するサイバー攻撃によって政府機関や医療機関などのさまざまな分野で被害が拡大しており、特にIoT機器はその主要な攻撃対象になっています。

  • 脆弱性検証―何をどこまで実施すれば良い?

    IoT機器に十分なセキュリティ対策が必要であることは常識となりつつあるものの、「IoTセキュリティ検証をどこまでやればよいのか分からない」という現場の声も多く聞かれます。実際にセキュリティ対策の取り組みを開始すると、セキュリティ検証を行うにあたり人材確保、体制構築、IoT機器の製品特性に合わせた検証の進め方、難解なガイドラインの解釈など様々な課題に直面します。

  • ファジングとは

    実績のあるIoT機器のセキュリティ対策として知られているファジング(Fuzzing)ですが、そもそもファジングとは何かご存知ですか?独立行政法人情報処理推進機構 セキュリティセンター著「ファジング活用の手引き」によると、ファジングとは、「検査対象のソフトウェア製品に『ファズ(英名:fuzz)』と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで脆弱性を検出する検査手法」とされています。

  • セキュリティ規格について

    セキュリティ規格・ガイドラインは膨大な数に上り、 ファジングが含まれるものだけを抜き出しても相当数になります。事業や情報資産を守るべく整備されているガイドラインも、加速する環境の変化に応じて改訂され続けているため、ただでさえ膨大な数の規格・ガイドラインに加え、それぞれのアップデートに追随する必要があります。そのような環境下で、自社の事業に関連するセキュリティ規格やガイドラインを抜け漏れなく把握し、

  • ファジングの限界

    ファジングは、ブルートフォース攻撃(総当たり攻撃)を主とする検査手法です。大変重要、かつ有効な検査手法である一方、個々のテストケースの作成とそれらの実施には、多大な時間と労力が必要とされます。このため、非常に短い期間での開発を要求される昨今のプロジェクトでは、できる限り効率的なアプローチが求められます。

  • HEMS機器の脆弱性検証

    HEMSはスマートハウスを実現するための重要なシステムであり、ECHONET Lite規格を通じた通信で省エネ機器や設備をIoT化し、エネルギーマネジメントやリモートメンテナンスを提供します。しかし、インターネットへの接続により外部からの攻撃リスクが存在し、家電機器が不正操作される可能性もあるため、セキュリティ対策が重要です。

ホワイトペーパーダウンロード

ホワイトペーパーダウンロード

コラムよりも更に詳しいセキュリティに関する技術情報を掲載していますので、ぜひご覧ください。

関連製品

  • 高精度静的解析ツールCodeSonar

    世界トップレベルの解析能力で、不具合や脆弱性の原因となるソースコードのバグを検出します。

  • 高精度バイナリSCAソリューションCodeSentry

    バイナリファイルに含まれるOSSコンポーネントを検出し、脆弱性をレポートします。

IoT機器セキュリティ検証サービスに関するお問い合わせ

セキュリティテストの詳細な技術解説をご覧になりたい方

技術資料をダウンロードする

ファジングテストやファジングツールについての詳細をまとめたホワイトペーパーをご用意しています。

まずは話を聞いてみたい方

お気軽相談

サービスの詳細について知りたい方やセキュリティ検証に課題をお持ちの方は、お気軽にご相談ください。