セキュリティ

IoT機器とそれとつながるクラウドサーバを脅威から守ります

セキュリティは今やPCやネットワーク機器のみならず、末端で利用される機器にも危険性が潜んでいます。なぜならば、今ではモノ(制御機器やセンサーなど)がインターネット接続され、収集した情報からいろいろなサービスを生み出しています。それがIoT(Internet Of Things)です。IoT製品に潜んだ脆弱性(未知の脆弱性)を残したまま出荷し、市場にてその脆弱性が発見され問題となってしまった場合問題を鎮静化するために多大なコストがかかるだけでなく、会社のイメージも大きくダウンする要因となります。

対象

マストトップでは、下記の内容を対象に既知の脆弱性検査(スキャナー)ではなく、未知の脆弱性を発見するための検証を行います。
 

@組込み(IoT)セキュリティ

従来、インターネットとは無縁だった機器がインターネットを介して相互に接続したり、インターネットを使ってサービスを提供するようになっています。それは多くの利便性をもたらす反面、新たなリスクや課題も発生しています。

Aクラウド(サーバ)セキュリティ

機器がインターネットを開始いろいろな情報を収集。それを使ってサービスを提供するクラウド(サーバ)システムも同様に新たなリスクが発生します。相互に接続され連携される機器の中には、セキュリティの概念が無かった時代に完成した製品も含まれる可能性があります。その脆弱な機器から侵入、攻撃を受けることが考えられます。

攻撃イメージ

サービス内容

セキュリティ検証に必要な情報のご提供または検証体制を構築

[各種ご提案]

@プロセス・基準策定のご提案

製品・サービスそのものの品質を客観的に検証するための評価プロセスや、開発からリリースされた段階の品質基準の判定方法策定などをご提案

プロセス・基準策定について

Aセキュリティ検証手法のご提案

セキュリティ評価は対象の製品・サービスに適したツールが必要なケースがほとんどです。そのツールもたくさんの種類がありそれぞれ向き不向きがあります。マストトップではその選定・使用方法・検証結果の確認方法などの情報をご提供します。

セキュリティ標準について

[分析・対策検討]

検証を行った結果をCVSS(共通脆弱性評価システム)などの汎用的な評価手法を用いて、脆弱性の深刻度を判定。考えられる原因などを開発者からヒアリングし考えられる原因などを分析。さらに脆弱性の対応優先度を検討します。

主な内容

a.脅威分析

製品・サービスが直面する可能性がある悪意を利用状況や扱っている情報から分析
(例)顧客情報の盗奪、ホームページなどの改ざん、不正ログイン

b.ファジングテストにおけるファズ設計

脅威分析した結果が実際に行われる可能性がある脆弱性を発見するために行うファジングテストに必要なファズデータを設計
※ファズデータ
ファジングテストは、開発者が認知していない脆弱性(未知の脆弱性)を検知するためのテストでそのテストで使用されるデータ。対象の製品・サービスの内容や利用状況などを考慮して作成する必要があります。

c.脆弱性分析、対策検討

ファジングテスト等で洗い出された脆弱性がどのような形で脅威に結びつくかなど分析。 分析結果から対策の必要性と対策実施に必要な情報や過去の事例などご提供し、早期解決に向けてご支援致します。