IoT 脆弱性診断サービス
IoT 脆弱性診断サービスについて
IoT 脆弱性診断サービスは、Web アプリケーション診断、ネットワーク診断、スマートフォンアプリ診断 などの既存診断サービスに、IoT デバイス診断を加え「IoT 脆弱性診断」として、横断的に IoT サービス全体の総合的な脆弱性診断サービスをご提供します。
IoT サービスを構成する要素を分析し有効な診断をご提供
コンサルティング形式で、エンジニアが事前ヒアリングを行い案件ごとに見積もりを行います。報告書には経営陣向けにリスクレベルが判断しやすい評価報告に加え、開発者が改修しやすい詳細な脆弱性発見個所と対策方法も提示します。ご要望に応じ、継続的/定期的な診断メニューも提供いたします。
精度の高い診断の提供
各対象領域の診断項目は、独立行政法人の情報処理推進機構(IPA)をはじめとした情報セキュリティ機関の勧告、サイバートラストの脆弱性診断の実績にもとづき選定しております。また、診断は検査ツールでは通常検知できない脆弱性などもエンジニアによるきめ細かい検査、複合的な要素を加味した診断を実施することから、より精度の高い診断を総合的に提供することができます。
サイバートラスト IoT 脆弱性診断サービス 実施事例
竹中工務店様
竹中工務店が BA/FA の価値を高める IoT 脆弱性診断を実施 サイバー攻撃の脅威からスマート設備の安全対策を強化
詳細を見る診断レポート
診断結果は「診断報告書」として提出いたします。診断報告書は、経営層向けのエグゼクティブサマリー(5段階の評価ランクを含む)と技術者向けに詳細レポートとして、確認された脆弱性および対策などを記載し、お客様が改善すべき事項を明確にご提示します。
| エグゼクティブサマリー | 診断対象のリスクを一目で把握できるように、5段階評価(A~E)とレーダーチャートによる分析で提示します。 |
|---|---|
| 詳細レポート | 検出された脆弱性の状態やリスク、対策案を提示します。開発者が改修しやすいように再現例と発見箇所について詳しく報告。対策案として、根本的対策と保険的対策の2種類を提示します。 |
確認された脆弱性の影響の度合いについては、下図の通り、「攻撃難易度」と「危険度」の2つの軸による評価を行います。それにより、公開中のシステムにおいて、「危険度が高いがその脆弱性を攻撃することは難しい」場合や、「危険度は低いが容易に攻撃できてしまう」場合などを把握できるため、リスクの高さを相対的に判断することが可能になる、といったメリットがあります。
この脆弱性の2軸評価は、サイバートラストならではのサービスであり、多くのお客様に高く評価されています。
| リスク評価基準 | ||||
|---|---|---|---|---|
| リスク評価 マトリクス |
攻撃難易度 | |||
| 易 | 中 | 難 | ||
| 危険度 | 高 | 4:緊急 | 3:高 | 2:中 |
| 中 | 2:中 | 2:中 | 1:低 | |
| 低 | 1:無 | 1:低 | 1:低 | |
| 無 | 0:無 | 0:無 | 0:無 | |
| 危険度評価基準 | |
|---|---|
| 高 | システムの侵入やページの改ざん、機密情報漏洩につながる指摘事項(SDLインジェクション・クロスサイトスクリプティングなど) |
| 中 | システムの停止やシステム設定情報の漏洩につながる指摘事項(DoS攻撃・設定パラメータの漏洩など) |
| 低 | システムのバナー情報等、直接的にシステムへの侵入につながらない指摘事項(サーバサービスのバージョン取得・不要なオープンポートなど) |
| 攻撃難易度評価基準 | |
|---|---|
| 高 | 簡単に手に入るツールなどによって、用意に攻撃を行うことが可能 |
| 中 | 特定の条件をクリアすることによって攻撃を行うことが可能 |
| 低 | 攻撃を行うためには非常に複雑な条件をクリアする必要がある |
4:緊急3:高が確認された場合は、診断期間の終了まで待たずに即日の速報レポートを提供します(速報レポート)。