ペネトレーションテスト

IoTデバイスペネトレーションテスト

Inspection & Consulting

IoT機器及びそのシステムへの侵入テストで、サイバー攻撃被害を未然に防ぐ改善策を提案

IoT機器は社内システムやクラウドサービスなどネットワークと通信するケースも多く、外部から侵入されるリスクがあります。そこで、もし悪意のある者が侵入に成功した場合、どのような影響があるのかを検証し、被害を未然に防げるよう改善策を提案します。

サービスの強み
ラックの経験豊かなエンジニアが、IoTデバイスの弱点をハード・ソフトの両面から徹底調査
IoTデバイスペネトレーションテスト実施のステップ
ラックの特徴
報告書サンプル
検証実績のある脆弱性の例
価格

ホワイトペーパー「IoT機器やネットワーク接続機器の開発プロセスにおけるセキュリティ対策と実装ポイント」ダウンロード

サービスの強み

IoT機器及びそのIoTシステムのセキュリティ上の問題を調査し、
セキュリティ対策の有効性や影響を検証

スマートホーム、スマートファクトリー、スマートビルティング、スマートシティやコネクティッド・カーなど未来の形を実現するためにIoTの技術が不可欠です。社会インフラの進化を妨げるような攻撃から守るため、ラックのセキュリティ技術者が、お客様のIoT機器及びそのシステムに潜在するセキュリティ上の問題を調査し、セキュリティ対策の有効性や影響を検証します。さらに、問題解決の対策を提案することでお客様のシステム全体の耐性向上に貢献します。

IoTデバイスペネトレーションテストの検証範囲 — IoT機器が構成するシステム及び通信経路における脆弱性を調査し、次のような行為が可能か検証します。
通信データの盗聴・改ざん、なりすまし、権限昇格、秘匿情報の奪取、ファームウェアの改ざんなど

サービスのご利用をおすすめする業界・部門

業界

通信関連（大規模ルータ、ネットワーク通信機器、通信設備など）
自動車関連（自動車、車載機器メーカーなど）
医療機器（医療機器メーカーなど）
住宅（住宅設備、スマートホームメーカーなど）
運航系（飛行機、ヘリコプター、電車、船など）

部門

開発部門
品質管理部門など

ラックの経験豊かなエンジニアが、
IoTデバイスの弱点をハード・ソフトの両面から徹底調査

セキュリティ上の問題点を
攻撃者目線で検証

リスクとなり得る潜在的な侵入口を特定するために、IoT機器の基板の確認、ファームウェア解析、通信のモニタリング、スマートフォンアプリの解析などにより、セキュリティ上の問題点を探します。判明した問題点から、実際に侵入が可能であるか疑似的に侵入を試みます。
問題の指摘だけでなく、安全性向上のための改善策を提案

問題を発見し指摘するだけでなく、それによる影響を検証し、改善策を提案します。想定される攻撃の内容や被害の範囲を把握でき、実際に攻撃の可能性を確認した上で対応を検討できます。もちろん、完成したIoTシステムのセキュリティ状況を確認する「第三者検証」としての活用も可能です。
ラックならではの高度な調査技術を提供

製品内部の基板を確認、ファームウェアの解析、通信のモニタリング、スマートフォンアプリの解析などにはIoT機器を構成するデバイスの特性を理解した専門知識が必要です。特に、製品内部の基板の確認やファームウェアの解析は、ラックだからこそ提供できるサービスです。

IoTデバイスペネトレーションテスト実施のステップ

IoTセキュリティの専門家が初回ヒアリングからご提案、報告会までしっかり対応させていただきます。

対象IoT機器及びシステムに関する仕様の確認

お客様のご希望内容や、対象IoT機器及びシステムに関する仕様をヒアリングさせていただきます。
※ 秘密保持契約（NDA）の締結が必要になることがあります。
最適なIoTデバイスペネトレーションテストを提案

ヒアリング内容とIoTシステムの確認結果により、想定する脅威に対して最適な攻撃シナリオを含めた提案書を提出させていただきます。

提案書の内容例
・テストの対象範囲・テストの目標、内容、具体的な主な項目
・テスト実施にあたり提供していただきたいもの
・納品物
・スケジュール
・概算見積
IoTデバイスペネトレーションテストの実施

実施にあたり、キックオフミーティングを開催し、実施内容、スケジュールなどについて再度認識を合わせる機会を設けます。標準的な実施期間は1～2カ月です。
※ 実施にあたり業務委託契約（準委任契約）を締結いただきます。実施期間中に問題点を確認した場合は、速報としてメールにて報告します。
報告書提出、報告会開催

・報告書提出
納品物として報告書を作成し、CD/DVDに格納して提出します。
※ テストにおける参考データや問題の再現のために作成した参考プログラムがある場合は添付します。

※ IoTデバイスペネトレーションテスト作業終了後、2週間後に提出します。

・報告会開催
報告書の納品後に日程を調整し、開催します。

※ 開催時間は2時間程度です。

※ 1～4までの流れは、およそ2カ月単位での参考スケジュールです。

ラックの特徴

欧米の動向と国際コーディネーションを踏まえた脅威分析及びセキュリティ検証を実現

国際標準規格ISO/IEC27400（ISO/IEC27402）を見据え、NISTの"Recommended Criteria for CyberSecurity Labeling for Consumer Internet of Things (IoT) Products"ならびにETSI EN 303 645/TS 103 701に準じた、高度なIoTセキュリティペネトレーションテストサービスを提供いたします。

高度なバイナリ解析技術

ソースコードをご提供いただかなくても調査の実施が可能です。
ソースコードを社外に出すことが難しいお客様も安心してご利用いただけます。

国際セキュリティコンテストの優勝実績があるメンバーが多数在籍

CODE BLUE 2019「産業制御システムハッキングコンテストICS Hacking Challenge」
CODE BLUE 2022「CTF for Connected Cars」
など、国際ハッキングコンテストで優勝経験のあるエンジニアが担当します。

報告書サンプル

発見されたリスクについて評価を行い、想定される影響や対策方法を詳細にご報告します。

検証実績のある脆弱性の例

サーバー証明書が未検証（TLS通信での危険性）：通信データの盗聴、改ざん、なりすまし等が可能
基板に外部から侵入可能な経路がある：重要情報窃取、データの書き換え等が可能
IoT機器と通信するWindowsアプリケーションに脆弱性：不正な操作、不正アクセス、秘密情報窃取等が可能
セキュアブート機能が未使用：不正なファームウェアに書き換え起動が可能
WEB管理画面に脆弱性：不正ログインやインジェクション攻撃などが可能
IoT機器と周辺機器の通信間に脆弱性：通信データの盗聴、改ざん、なりすまし等が可能

調査実績のある機器の例

車載ユニット（IVI、ECU）	国内OEMの車両
IoT Gateway	IoT家電
監視カメラ	デジタルカメラ
PC・タブレット	ネットワーク機器（ルーター、UTM、スイッチ）
サーバー機	医療機器・ヘルスケア
船舶	ドローン