ピンボール戦車少女

セキュリティ対策の株式会社ラック

閉じる

企(qi)業(ye)や組(zu)織のセキュリティ事故(gu)発(fa)生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談(tan)は予約不(bu)要(yao)、24時(shi)間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

セキュリティコンサルティング

IoTセキュア開発コンサルティング

Inspection & Consulting

IoT製品開発とセキュリティコンサルの経験者がチームを組んでサービスを提供

ラックはさまざまなIoTデバイスを扱い設計段階から最(zui)適解を模索してきました。情報漏(lou)えいやサービス停止(zhi)など想定外の事態を招かないようにするため、系統的な分析によって脅威を網羅し、各デバイスに応じた対策を検討します。

サービスの強み

脅威分析や脆(cui)弱性診断などトータルなIoTコンサルティングを提供

セキュアなIoTシステムを開発するにあたり、製品仕様の観(guan)点(dian)だけでなく、事例を参照しながら、セキュリティにかかわる確(que)認項目を洗(xi)い出し、脅威分析しながらコンサルティングを進めます。いかに永続的に利用(yong)できるかという運用(yong)的な視点(dian)も交えたサービスは、長年にわたってラックが蓄(xu)積したノウハウがあればこそ提供できるものです。

迫るIoTデバイスの脅威を的確に把握し、対策を検討

  1. ヒアリング結果や脅威、攻撃経路に関する事例などを一覧で把握
    対象デバイスおよび関連システム概要ヒアリング結果、対象デバイス関連脅威事例一覧、経路・アクター整理結果一覧など状況を示すさまざまなデータを網羅的時に取得できます。
  2. 脅威分析ワークシートを参照することによって脅威に関する情報を把握
    IoTデバイスの脅威を一覧表にして提示します。例えば、権限と通信上の安全性確保などについて、なぜ脅威になるのかを説明しながら、権限に対する考え方などを説明します。
  3. 残存脅威一覧および推奨対策の提示
    昨今は製品単体だけでなく、製品とクラウドサービス、スマートフォンアプリとの連携など、データや通信が複雑になっており、状況を把握した上で的確な対策を打ち出すことが求められています。ほかにも、インシデント発生時の出荷製品の回収など具体的なリスクを説明します。

脅威分析実施のステップ

脅威分析実施のステップ

1. 対象デバイス概要把握・脅威事例等把握

対象デバイス概要把握

各(ge)種設計書の検(jian)証や、お客様へのヒアリングを通じ、IoTデバイスや周辺環境(例(li)えばクラウドサーバ、関(guan)連スマホアプリなど)について、その概要を把握します。

脅威事例等把握

対象デバイスに関する脅(xie)(xie)威事例(li)(li)をカンファレンスで公(gong)表されているものなどを含めて幅(fu)広く調査し、注目(mu)されている脅(xie)(xie)威シナリオやハッキング方法論の有無(wu)などを調査し、把握(wo)します。実際の脅(xie)(xie)威事例(li)(li)として顕在(zai)化していないからといって、特定の脅(xie)(xie)威シナリオを無(wu)視していいわけではありません。ただし、優(you)先順(shun)位を付ける際には、顕在(zai)化している脅(xie)(xie)威があれば優(you)先度を上げるべきです。現実に即したリスク評価には、そうした情報も必要です。

2. 経路・アクター分析

脅威分析の基本(ben)は、IoTデバイス内外(wai)の通信(xin)経路(lu)や関連(lian)アクター洗(xi)い出しにあります。盗聴もなりすましも、通信(xin)経路(lu)を介(jie)して実施されるためです。ただし、注目するレイヤーを固定すると見(jian)逃しが発生してしまうため、ネットワークの各層、すべてのレイヤーに着目し、分析することが重要(yao)です。また、アクターについても、レギュラーユースケースだけでなく、保守・管理の場面で登場する経路(lu)やアクターを見(jian)逃さないようにすることなどに留意(yi)する必要(yao)があります。

3. 脅威分析

代(dai)表(biao)的な脅威(wei)シナリオとして、なりすまし、改ざん、否認、情報の漏えい、DoS攻撃、権限昇(sheng)格などがあります。「2. 経(jing)路・アクター分析(xi)」で洗(xi)い出(chu)したすべての通信(xin)経(jing)路に対(dui)し、これらの脅威(wei)シナリオへの対(dui)策がどのように図られているかを洗(xi)い出(chu)します。脅威(wei)には、洗(xi)い出(chu)すための一定のフレームワークが存在します。これに沿うことで、概ね見逃しはなくなるものの、実(shi)績のない脅威(wei)シナリオについても考察に含(han)めておくことが重要(yao)です。

4. リスク評価・対策検討

現状の対(dui)策(ce)(ce)において残(can)存(cun)(cun)脅威が存(cun)(cun)在する場合に、その残(can)存(cun)(cun)脅威シナリオのリスク評価や対(dui)策(ce)(ce)となる選(xuan)択肢の洗い出(chu)し、比較検討を実施(shi)します。お客様のIoTデバイスに合った対(dui)策(ce)(ce)を選(xuan)定していただくため、複数の対(dui)策(ce)(ce)案を提示(shi)することがあります。

標準的なコンサルティング期間

実施期(qi)間は、IoTデバイスと周(zhou)辺システムの複雑性に応じて変わりますが、概ね1.5~3カ月が標準的です。

価格

デバイスや関連(lian)システムの規模に応じ、個別にお見積もりいたします。お気軽にお問(wen)い合わせください。

「IoTセキュア開発コンサルティング」に関するお問い合わせ

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

page top