株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

自分で調べる

セキュリティ診断

IoTセキュア開発コンサルティング

IoTセキュア開発コンサルティング

IoTデバイスのセキュリティ対策を検討するためには、脅威分析が大切です。情報漏えいやサービス停止など想定外の事態を招かないようにするためには、系統的な分析によって脅威を網羅し、各デバイスに応じた対策を検討しなくてはなりません。効果のある対策を見極めて実施する必要があるのです。

あらゆるアタックサーフェスに対応した脅威とその対策を洗い出すことで、そのデバイスにふさわしい対策が見えてきます。ラックは、これまでさまざまなIoTデバイスを扱い、機能の提供だけではなく、設計段階からお客様と共に最適解を模索してきました。その経験を生かすことで、利用するIoTデバイスに合ったセキュリティ対策を見極められるのです。

脅威分析や脆弱性診断などトータルなIoTコンサルティングを提供

IoTセキュア開発コンサルティングの特徴は、実際に製品開発を経験してきているメンバーとセキュリティコンサルティングを経験したメンバーが融合し、チームを組んでいることにあります。セキュアなIoTシステムを開発するにあたり、製品の観点だけでなく、事例を参照しながら、セキュリティにかかわる確認項目を洗い出し、脅威を分析しながらコンサルティングを進めます。いかに永続的に利用できるかという運用的な視点も交えたサービスは、長年にわたってラックが蓄積したノウハウがあればこそ提供できるものです。

セキュリティ以外の将来的なリスクにも事前に対策を打てる

IoTセキュア開発コンサルティングを活用することよって、お客様は設計、開発における手戻りを最小限に抑えられます。セキュリティの課題は多種多様であるため、システム全体を把握したうえで設計、開発段階からセキュリティの仕組みを作り込んでおくことが、更改頻度の抑制につながります。また、テクノロジーが飛躍的に進歩する一方で、その使い方を誤ると、意図しなかったプライバシー侵害や外部システムの想定外の動きなどにより、自社のブランド価値を著しく棄損してしまうような事態を招くリスクも高まっています。

ラックは、たとえ現状のセキュリティ上は大きな問題でないと判断できたとしても、ブランド棄損をはじめとしたリスクがある場合はそれを脅威とみなし、事前に対策を打てるように支援します。

脅威分析実施のステップ

脅威分析実施のステップ

1. 対象デバイス概要把握・脅威事例等把握

対象デバイス概要把握

各種設計書の閲覧や、お客様へのヒアリングを通じ、IoTデバイスや周辺環境(例えばクラウドサーバ、関連スマホアプリなど)について、その概要を把握します。

脅威事例等把握

対象デバイスに関する脅威事例をカンファレンスで公表されているものなどを含めて幅広く調査し、注目されている脅威シナリオやハッキング方法論の有無などを調査し、把握します。実際の脅威事例として顕在化していないからといって、特定の脅威シナリオを無視していいわけではありません。ただし、優先順位を付ける際には、顕在化している脅威があれば優先度を上げるべきです。現実に即したリスク評価には、そうした情報も必要です。

2. 経路・アクター分析

脅威分析の基本は、IoTデバイス内外の通信経路や関連アクター洗い出しにあります。盗聴もなりすましも、通信経路を介して実施されるためです。ただし、注目するレイヤーを固定すると見逃しが発生してしまうため、物理層、データリンク層、ネットワーク層、トランスポート層、セッション層、プレゼンテーション層など、すべてのレイヤーの通信単位に着目し、分析することが重要です。また、アクターについても、レギュラーユースケースだけでなく、保守・管理の場面で登場する経路やアクターを見逃さないようにすることなどに留意する必要があります。

3. 脅威分析

代表的な脅威シナリオとして、なりすまし、改ざん、否認、情報の漏えい、DoS攻撃、権限昇格などがあります。「2. 経路・アクター分析」で洗い出したすべての通信経路に対し、これらの脅威シナリオへの対策がどのように図られているかを洗い出します。脅威には、洗い出すための一定のフレームワークが存在します。これに沿うことで、概ね見逃しはなくなるものの、実績のない脅威シナリオについても考察に含めておくことが重要です。

4. リスク評価・対策検討

現状の対策において残存脅威が存在する場合に、その残存脅威シナリオのリスク評価や対策となる選択肢の洗い出し、比較検討を実施します。お客様のデバイスに合った対策を選定していただくため、複数の対策案を提示することがあります。

主な成果物

検討成果は、IoTデバイス脅威分析結果報告書の形に取りまとめます。一般的に、下記のような中間成果物を取りまとめ、エグゼクティブサマリなどを含めた報告書を提出します。

中間成果物一覧(例)

  • 対象デバイスおよび関連システム概要ヒアリング結果
  • 対象デバイス関連脅威事例一覧
  • 経路・アクター整理結果一覧
  • 脅威分析ワークシート
  • 残存脅威一覧および推奨対策事項

中でも、脅威分析ワークシートは、お客様に迫る脅威を一覧表にして提示します。例えば、権限と通信上の安全性確保などについて、なぜ脅威になるのかを説明しながら、権限に対する考え方などを説明します。

昨今は製品単体だけでなく、製品とクラウドサービス、スマートフォンアプリとの連携など、データや通信が複雑になっており、抜け漏れなく脅威を把握することの重要性が高まっているのです。

そのほか、攻撃を受けて情報漏えい事故などインシデントが発生してしまった場合に、出荷製品の回収やリコールリスクが潜在する点など、脅威を具体的に指摘します。

標準的なコンサルティング期間

実施期間は、IoTデバイスと周辺システムの複雑性に応じて変わりますが、概ね1~3カ月が標準的です。

価格

デバイスや関連システムの規模に応じ、個別見積りになります。

お問い合わせ

IoTセキュア開発コンサルティング
に関するお問い合わせ

いま注目されているサービス

  • teamviewer_top.png

    世界で一番支持されているリモート接続ツール「TeamViewer」が、業務効率と顧客満足度アップを実現します

  • penetration_top.png

    全セキュリティ診断のノウハウを活用した総合的セキュリティサービス「ペネトレーションテストサービス」を実現

  • Akamai.png

    サイバー攻撃の脅威からWebサイトを守り、高速で安定したサービス提供をサポート

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
配信しています
詳しくはこちら

page top