NECソリューションイノベータは2020年3月24日、セキュリティの観点からIoT機器の技術基準適合認定を支援するサービス「NEC IoTセキュリティ診断サービス」の提供を開始した。電気通信事業法に基づく新セキュリティ基準への対応、およびIoT機器のセキュリティ対策を支援する。価格(税別)は、「Standard(ベースライン評価)」が30万円からで、「Advanced(リスクベース評価)」が100万円から。NECソリューションイノベータは今後3年間で5000万円の販売を目指す。
NEC IoTセキュリティ診断サービスは、セキュリティの観点からIoT機器の技術基準適合認定を支援するサービスである(図1)。アクセス制御機能など、2020年4月に新設された電気通信事業法に基づく技術基準(新セキュリティ基準)が定めるセキュリティ対策の基本機能の実装有無について、検証を支援する。これにより、IoT機器の技術基準適合認定の取得をサポートする。
拡大画像表示
また、NECソリューションイノベータの脆弱性診断や組み込みセキュリティの知見を活かした診断、IoT機器固有のリスク分析をサービスメニューとして提供する。これにより、より安全に製品をリリースできるように支援する。
メニューには、新セキュリティ基準に基づくリスク分析を支援するStandardと、IoT機器固有のリスク分析を支援するAdvancedがある。
Standardでは、法令の一部改正により対象となるIoT機器に対して定められた、新セキュリティ基準をベースとした検証項目について、アセスメントを支援する。
また、総務省が認定する電気通信事業法に基づく技術基準適合認定の登録認定機関と連携し、技術基準適合認定の取得を支援する。さらに、NECソリューションイノベータ独自の検証項目で評価を実施し、検証結果レポートを発行する。
新セキュリティ基準をベースとした検証項目(端末整備等規則の改正4項目に対応)
- アクセス制御機能(例)Web管理画面に対するID・パスワード認証機能
- 初期パスワードの強制変更機能
- ファームウェアの更新機能
- 再起動後のセキュリティ設定維持
NECソリューションイノベータ独自の検証項目(例)
- サービスのバナー情報から不要な情報が漏洩していないこと
- バナー情報に記載されているバージョン情報が最新であること
- 認証情報未入力では設定変更画面に直接アクセスできないこと
- 認証情報の設定変更をログで監査可能であること
Advancedでは、Standardの基本的な検証に加え、脆弱性診断やペネトレーションテスト、ファームウェア解析や個別のガイドラインに基づくアセスメントなどの検証サービスを提供する。これにより、IoT機器固有のリスクを分析し、推奨対策を提示する。
ペネトレーションテストとは、ネットワークに接続されているシステムへ、実際に既知の技術を用いて侵入を試み、脆弱性の有無をテストする手法を指す。IoTハニーポットテストとは、IoTデバイスを実際にインターネットに接続し、攻撃を受けた際の挙動を観察する手法を指す。
Advancedの検証項目(例)
- IoTハニーポットテスト
- デバイスからファームウェアの抽出容易性を検証
- 暗号化実施有無の確認
背景について同社は、2020年4月1日に、「電気通信事業法に基づく端末設備等規則及び電気通信主任技術者規則」の一部を改正する省令(平成31年総務省令第12号)が施行されることを挙げる。同改正により、出荷するIoT機器には、アクセス制御機能などのセキュリティ対策の基本機能の実装が義務付けられる。さらに企業には、改竄や乗っ取り被害の危険性がある脆弱なIoT機器を市場へ供給しないための対策が求められる。