セキュリティ診断
IoTデバイスペネトレーションテスト

PCやスマートフォン、デジタルカメラ、IoT家電、IoTゲートウェイ、車載端末、ルーターなどのネットワーク機器、サーバ、ドローンなど、いまシステムはネットワークにつながるさまざまな「IoTデバイス」で構成されるようになっています。
社内システムやクラウドサービスなどネットワークと通信するケースも多く、IoTデバイスには外部から侵入されるリスクがあります。そこで、もし悪意のある者が侵入に成功した場合、どのような行為を許してしまうのかを検証し、被害を未然に防げるようにするサービスが、IoTデバイスペネトレーションテストです。
スマートビルティングやスマートシティなど未来の形を実現するためにIoTが不可欠の技術になっています。社会インフラの進化を妨げるような攻撃から守っていきたいとラックは考えています。
問題点を疑似的に「悪用」して侵入経路を特定
リスクとなり得る潜在的な侵入口を特定するために、IoT機器の基板の確認、ファームウェア解析、通信のモニタリング、スマートフォンアプリの解析などにより、セキュリティ上の問題点を探し、判明した問題点を疑似的に「悪用」することで、実際に侵入が可能であるかを確認します。

問題の指摘だけでなく改善策を提案
IoTデバイスペネトレーションテストを利用したお客様は、想定される攻撃の内容や被害の範囲を把握でき、実際に攻撃の可能性を確認した上で、対応を検討できます。また、最適な改善策を、ラックの持つノウハウに沿って提案することが可能です。
それによって、IoTシステムへの攻撃による情報漏えいなどさまざまな被害の発生を未然に防ぐことができます。そのため、IoTシステムの開発が完了する前の段階で実施することを推奨しています。もちろん、完成したIoTシステムのセキュリティ状況を確認する「第三者検証」としての活用も検討ください。ラックのIoTデバイスペネトレーションテストは、問題を指摘するだけではありません。例えばWi-Fi通信への侵入リスクがあることをお知らせするだけでなく、その原因に対する改善策の提案をします。
ラックならではの高度な技術を用いたソリューション
次のような調査をしてセキュリティ上の問題が潜んでいるか確認します。特に、製品内部の基板の確認やファームウェアの解析は、ラックだから提供できるサービスです。
- 製品内部の基板を確認
- ファームウェアを解析
- 通信をモニタリング
- スマートフォンアプリを解析

IoTデバイスペネトレーションテスト実施のステップ

1. 対象IoT機器及びシステムに関する仕様の確認
対象IoT機器及びシステムに関する仕様を確認します。
※ 秘密保持契約(NDA)の締結が必要になることがあります。
2. 最適なIoTデバイスペネトレーションテストを提案
確認結果により、当社が最適と考えるIoTデバイスペネトレーションテストについて、提案書を作成し、提出します。提案書は次のような内容です。
- テストの対象範囲
- テストの目標、内容、具体的な主な項目
- テスト実施にあたり提供していただきたいもの
- 納品物
- スケジュール
- 概算見積
3. IoTデバイスペネトレーションテストの実施
実施にあたり、キックオフミーティングを開催し、実施内容、スケジュールなどについて再度認識を合わせる機会を設けます。標準的な実施期間は1~2カ月です。
※ 実施にあたりNDA(準委任契約)を締結いただきます。
実施期間中に問題点を確認した場合は、速報としてメールにて報告します。
4. 報告書提出、報告会開催
報告書提出
納品物として報告書を作成し、CD/DVDに格納して提出します。
※ テストにおける参考データや問題の再現のために作成した参考プログラムがある場合は添付します。
※ IoTデバイスペネトレーションテスト作業終了後、2週間後に提出します。
報告会開催
報告書の納品後に日程を調整し、開催します。
※ 開催時間は2時間程度です。
スケジュール
- 仕様の確認・提案書の提出:1〜2週間
- 業務委託契約(準委任)の締結:約1カ月
- IoTデバイスペネトレーションテストの実施:約1〜2カ月
- 報告書提出:2週間
- 報告会開催
価格
IoT機器の機能や構成するシステムの規模に応じ、500万円程度~。