1
検証環境の構築からレポート作成までエキスパートエンジニアが一括対応
検証環境の構築から検証の実施・レポートの作成までの全工程を、ユビキタスAIが請け負います。手間が減るだけでなく、他の製品への応用を考慮した試験環境の構築といった中長期的な視点での工程設計も可能です。
デバイス脆弱性テストIoT機器セキュリティ検証サービス
あらゆる機器のファジングから規格準拠支援までエキスパートが伴走
サービスの詳細について知りたい方やセキュリティ検証に課題をお持ちの方は、ホワイトペーパーのダウンロード、またはお気軽にご相談ください。
組込みデバイスの開発では、常にセキュリティリスクを考慮する必要があります。IoTセキュリティ検証サービスは、組込みシステムと各種プロトコルの両方に精通したユビキタスAIのエンジニアが、ファジングツールbeSTORMおよび脆弱性スキャンツール、独自のスクリプト等を使用して、ファズテストや脆弱性スキャン、ペネトレーションテストを提供するサービスです。
セキュリティテスト実施時の課題
- セキュリティテストの何から始めて良いのかわからない。攻撃経路の特定が難しい。
- 製品ごとに異常時の振る舞いが異なり、それぞれにエラー判定が必要。
- サードパーティ製プロトコルスタックは外部委託開発のソフトウェア解析ができない。
- 開発者・製造業者の立場からは攻撃のパターンを想定しにくい。
- ユーザーからセキュリティ要件を受けても、第三者視点でのエビデンスを提示できない。
ユビキタスAIのセキュリティ検証サービスは、このようなお客さまの課題を解決します!
ユビキタスAIのセキュリティ検証サービスが選ばれる理由
検証環境の構築から
2
検証工程のコストを低減
ユビキタスAIのプロトコルに関する知見を持ったエンジニアが効率の高いセキュリティ検証環境を構築し、beSTORMを利用することで、固有の検証環境でも費用を抑えた検証が可能です。
3
個別要件にあわせた対応の柔軟性
一つの機器、一つのプロトコル、コネクティビティ単位で始められます。また、繰り返し本サービスを利用することで、各ステップでの報告書(検証結果)を確認しながら、次の検証(より深い深度での検証)を行うかどうかを決められます。
4
幅広いプロトコルに対応
Ethernet、Wi-Fi、Bluetooth/Bluetooth Low Energy、USB、NFCなどさまざまな通信インタフェースを標準サポート、独自プロトコルへの対応も可能です。
5
beSTORMを利用し、社内にノウハウの蓄積が可能
社内に検証ノウハウを蓄積したい場合には、beSTORMの利用権も含めてサービスを提供します。二回目以降、社内でbeSTORMを使って実施する場合にも、本サービスの成果物(オーダーメイドで作成した検証環境など)を継続的に利用できます。
業界別採用事例
ユビキタスAIのセキュリティ検証サービスは、
エレクトロニクス製品全般の製品メーカーで採用されています。
産業機器
1. 製品:PLC
| 実施内容 : | ファジング |
| プロトコル例: | WiFi、Ethernet |
2. 製品:PLC
| 実施内容 : | ファジング、パケット解析 |
| プロトコル例: | TCP/IP、HTTP、Modbus |
医療機器
1. 製品:院内機器
| 実施内容 : | ファジング、ペネトレーション、脆弱性スキャン |
| プロトコル例: | WiFi、NFC |
2. 製品:院内機器
| 実施内容 : | ファジング、ペネトレーション |
| プロトコル例: | 有線LAN、無線LAN、NFC、RS-232C |
車載機器
1. 製品:カーナビゲーション
| 実施内容 : | ファジング、脆弱性スキャン |
| プロトコル例: | Bluetooth、CAN |
2. 製品:テレマティクスシステム
| 実施内容 : | ファジング、ペネトレーション |
| プロトコル例: | CAN、LTE、RS-232C、USB |
民生機器
1. 製品:無線LAN搭載IoT機器
| 実施内容 : | ファジング |
| プロトコル例: | WiFi、Bluetooth、USB |
2. 製品:コンピューティングデバイス
| 実施内容 : | ファジング |
| プロトコル例: | 有線LAN、無線LAN、Bluetooth、USB |
セキュリティテストの詳細な技術解説をご覧になりたい方
紹介動画(2分)
サービスの特長
対象地域
日本、およびアジア地域
検証可能プロトコル (一部抜粋)
Basic IPv4
Basic IPv6
Bluetooth
Wi-Fi
VPN
Network Clients
Metro Ethernet
Mobile
Simple Network Clients
Routing
TLS
Tunneling
VOIP
CANbus
Files
SCADA
USB
※未対応のプロトコルについてもカスタマイズによって対応可能です。
主な検証対象
CPU/OSに依存しないため、幅広い端末を検証対象とできます。
組込みデバイス全般
FA機器
サービスの流れ
お打ち合わせ
検証メニュ選定
契約締結
検証実施
報告書提出
関連技術コラム
脆弱性検証―何をどこまで実施すれば良い?
IoT機器に十分なセキュリティ対策が必要であることは常識となりつつあるものの、「IoTセキュリティ検証をどこまでやればよいのか分からない」という現場の声も多く聞かれます。実際にセキュリティ対策の取り組みを開始すると、セキュリティ検証を行うにあたり人材確保、体制構築、IoT機器の製品特性に合わせた検証の進め方、難解なガイドラインの解釈など様々な課題に直面します。
ファジングとは
実績のあるIoT機器のセキュリティ対策として知られているファジング(Fuzzing)ですが、そもそもファジングとは何かご存知ですか?独立行政法人情報処理推進機構 セキュリティセンター著「ファジング活用の手引き」によると、ファジングとは、「検査対象のソフトウェア製品に『ファズ(英名:fuzz)』と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで脆弱性を検出する検査手法」とされています。
セキュリティ規格について
セキュリティ規格・ガイドラインは膨大な数に上り、 ファジングが含まれるものだけを抜き出しても相当数になります。事業や情報資産を守るべく整備されているガイドラインも、加速する環境の変化に応じて改訂され続けているため、ただでさえ膨大な数の規格・ガイドラインに加え、それぞれのアップデートに追随する必要があります。そのような環境下で、自社の事業に関連するセキュリティ規格やガイドラインを抜け漏れなく把握し、
医療機器のセキュリティ動向とファジング
IoT化により、病院や医療機器にもサイバーセキュリティ対策が求められています。IMDRFによる国際的なガイダンスや、米国のFDAとNISTの推奨事項が存在します。NIST SP800-53/SA-11、SA-12では、ファズテストや侵入テストの使用が具体的に示され、これらの手法を用いた機器の検証が要求されます。これらの規格やフレームワークは、セキュリティ対策に役立つ重要なガイドラインとなっています。
ファジングの限界
ファジングは、ブルートフォース攻撃(総当たり攻撃)を主とする検査手法です。大変重要、かつ有効な検査手法である一方、個々のテストケースの作成とそれらの実施には、多大な時間と労力が必要とされます。このため、非常に短い期間での開発を要求される昨今のプロジェクトでは、できる限り効率的なアプローチが求められます。
HEMS機器の脆弱性検証
HEMSはスマートハウスを実現するための重要なシステムであり、ECHONET Lite規格を通じた通信で省エネ機器や設備をIoT化し、エネルギーマネジメントやリモートメンテナンスを提供します。しかし、インターネットへの接続により外部からの攻撃リスクが存在し、家電機器が不正操作される可能性もあるため、セキュリティ対策が重要です。
ホワイトペーパーダウンロード
関連製品
高精度静的解析ツールCodeSonar
世界トップレベルの解析能力で、不具合や脆弱性の原因となるソースコードのバグを検出します。
高精度バイナリSCAソリューションCodeSentry
バイナリファイルに含まれるOSSコンポーネントを検出し、脆弱性をレポートします。
