IoT デバイス診断について

急速に普及する IoT デバイスのセキュリティを考える上で、デバイスメーカーは今まで以上にセキュリティ・バイ・デザインを考慮する必要があります。開発段階からも有効とされるファジングという手法でデバイスに対する診断を実施します。
不正とされるファズデータを網羅的に対象デバイスに送り込むことで入出力における挙動から脆弱性を洗い出します。
出荷前の段階で検査を実施することで、より安全な状態で生産工程へ入ることが出来ます。

通信	対象デバイスから通信される内容の改ざんやバイパスなどを試行し、不正操作や情報の奪取が可能かどうかを診断します。
認証	脆弱なパスワードポリシーや初期設定のまま利用されていないかを診断します。 また、パスワード再設定のメカニズムなども評価します。
ファームウェア	アップデートのファイルやメカニズムを解析します。 それにより不正なアップデートの適用や、機密情報の取得が可能かどうかを診断します。
ハードウェア	直接ハードウェアに対して有線で接続し、ログの閲覧や機密情報の取得が可能かどうかを診断します。
その他	対象デバイス固有の特性を利用し、攻撃者にとって優位な操作が出来ないかを診断します。 また、対象とするデバイス固有の既知の脆弱性の有無も確認します。

IoT のシステム全体の脆弱性を診断されたい場合 ー IoT 脆弱性診断サービス

IoT 脆弱性診断サービスは、IoT デバイス診断に加え、システムを構成するネットワーク、Web アプリケーションなどの診断を横断的に診断いたします。これにより IoT サービス全体の総合的な脆弱性診断サービスをご提供します。

診断内容の詳細を確認

診断レポート

診断結果は「診断報告書」として提出いたします。診断報告書は、経営層向けのエグゼクティブサマリー（５段階の評価ランクを含む）と技術者向けに詳細レポートとして、確認された脆弱性および対策などを記載し、お客様が改善すべき事項を明確にご提示します。

エグゼクティブサマリー	診断対象のリスクを一目で把握できるように、5段階評価（A～E）とレーダーチャートによる分析で提示します。
詳細レポート	検出された脆弱性の状態やリスク、対策案を提示します。開発者が改修しやすいように再現例と発見箇所について詳しく報告。対策案として、根本的対策と保険的対策の2種類を提示します。

確認された脆弱性の影響の度合いについては、下図の通り、「攻撃難易度」と「危険度」の2つの軸による評価を行います。それにより、公開中のシステムにおいて、「危険度が高いがその脆弱性を攻撃することは難しい」場合や、「危険度は低いが容易に攻撃できてしまう」場合などを把握できるため、リスクの高さを相対的に判断することが可能になる、といったメリットがあります。
この脆弱性の2軸評価は、サイバートラストならではのサービスであり、多くのお客様に高く評価されています。

IoT 機器 脆弱性対策ソリューション VDOO

IoT 機器の脆弱性対策ソリューション [ VDOO ]は、開発段階で IoT 機器のファームウェアを分析しその機器に特化した脆弱性を可視化、また製品リリース後の機器へのサイバー攻撃のモニタリングや保護までを一貫して行うことができるサービスです。

IoT機器 脆弱性対策ソリューション VDOO 詳細