サイバートラストは2017年9月14日、IoTデバイスからクラウドまで、IoTサービス全体を対象に脆弱性を診断するコンサルティングサービス「サイバートラストIoT脆弱性診断サービス」を発表、同日提供を開始した。IoTデバイスベンダーやIoTサービス事業者などに向けて販売する。
IoTシステムを対象とした、脆弱性診断のコンサルティングサービスである。IoTデバイス診断、IoTネットワーク診断、Webアプリケーション診断を組み合わせて提供する。検査ツールでは検知できない脆弱性についても、エンジニアが手動できめ細かく検査するとしている。
図1●サイバートラストIoT脆弱性診断サービスの概要(出所:サイバ-トラスト)拡大画像表示
診断項目は、サイバートラストの脆弱性診断の実績や、情報処理推進機構(IPA)をはじめとした情報セキュリティ機関の勧告をベースに選定したという。例えば、IoTデバイス診断の項目は、通信における脆弱性、認証に関するメカニズムや強度、ファームウェア/ハードウェアの解析、その他の脆弱性、などになる。
診断の報告書では、経営陣に向けて、リスクレベルが判断しやすい評価を掲載する。さらに、開発者に向けて、脆弱性を改修しやすいように、詳細な脆弱性発見箇所と対策方法を提示する。要望に応じて、継続的/定期的な診断メニューも提供する。
診断費用(税別)は、案件ごとに個別見積もりで、98万円(Webアプリケーション診断がWeb API×30リクエスト、ネットワーク診断がIPアドレス×3の場合)から。エンジニアが事前にヒアリングして見積もる。
| 通信 | 診断対象デバイスの通信内容を改ざんする試行やバイパスする試行を実行し、不正操作や情報の奪取が可能かどうかを診断する |
|---|---|
| 認証 | パスワードポリシーが脆弱かどうかや、パスワードが初期設定のまま利用されていないかどうかを診断する。また、パスワード再設定のメカニズムなども評価する |
| ファームウェア | アップデートファイルやアップデートメカニズムを解析する。これにより、不正なアップデートの適用が可能かどうかや、機密情報の取得が可能かどうかを診断する |
| ハードウェア | 直接ハードウェアに対して有線で接続し、ログの閲覧や機密情報の取得が可能かどうかを診断する |
| その他 | 対象デバイス固有の特性を利用し、攻撃者にとって優位な操作ができないかを診断する。また、対象とするデバイス固有の既知の脆弱性の有無も確認する |
