2021年12月16日 11:00
株式会社シーイーシー(本社:東京都渋谷区、代表取締役社長:大石 仁史、以下 シーイーシー)は、IoT製品のセキュリティ品質向上を支援するため、組み込みソフトウェアや車載OS、ネットワークサービスの脆弱性リスクを可視化するセキュリティ検証サービスに、台湾Onward Security社の「HERCULES SecDevice(以下 SecDevice)」を加え、2021年12月16日より提供開始します。
今回、セキュリティ検証サービスに加えた「SecDevice」は、未知の脆弱性を診断する代表的方法である「ファジング(※1)」によるテストを、特許技術のスマート検証手法によって短時間かつ高精度に実施できる脆弱性診断ツールです。自動車、家電、医療機器、産業機器に搭載された通信・制御装置や組み込み機器などIoT製品で利用される主要な通信プロトコルに対応し、既知の脆弱性テストを含む数多くのセキュリティテストを自動実行することができます。
「SecDevice」はIoT製品のセキュリティチェックを簡易化・省力化し、セキュリティ品質確保を支援します。開発工程の早期からファジングを含む脆弱性診断を実施することで手戻りを削減(セキュリティ品質チェックのシフトレフト)し、製品開発工程全体の効率化に寄与します。
■「SecDevice」の特長
● 早期に脆弱性リスクを発見、対応工数を削減
特許技術を取得しているスマート検証手法を搭載。面倒で工数がかかるファジングテストを短時間かつ高精度に実施することができます。その他、バックドアスキャンやCVE(※2)をベースとした既知の脆弱性テストなど、6つのテストカテゴリー、170個のテスト項目に対応しています。テスト対象を自動的に検出、識別し、脆弱性テスト/スキャンを自動実施可能。セキュリティリスクの早期発見を支援します。
● IoT機器で使用される主要な通信プロトコルに対応
組み込み機器のセキュリティ保証に関する「EDSA認証(制御機器認証)」に基づくファジング対象プロトコルに対応しているほか、ハッカーが狙う脆弱性要因のベスト10(OWASP TOP10)にも対応しています(Ethernet、IPv4、ICMP、UDP、ARPほか、IIoTや医療機器プロトコル、Webアプリケーションや無線通信など)。また、独自プロトコルのテストにも対応できます。
● IEC62443、ソフトウェア開発ライフサイクル(SDLC)に対応
産業用自動制御システム(IACS:Industrial Automation Control System)のコンポーネントに関する技術的セキュリティ要件を示した、国際標準規格IEC62443-4-2に対応しています。また、ソフトウェア開発ライフサイクルにセキュリティテストを組み込む「セキュアソフトウェア開発ライフサイクル(SSDLC)」を構築・運用する際にも適用できます。
「SecDevice」の詳細: https://www.proveq.jp/verification/security/secdevice/
シーイーシーは今後、「SecDevice」の導入・運用や同ツールを活用した脆弱性診断など、関連サービスを順次拡充する予定です。
■背景
現在、自動車、家電、医療機器、産業機器など、さまざまな機器がIoT化され、サイバー攻撃のリスクにさらされています。ウイルスに感染したIoT機器によるDDoS攻撃発生が問題視され、総務省が、IoT機器にセキュリティ対策機能を実装するよう電気通信事業法(端末設備等規則)を改正、2020年4月1日から施行するなど、IoT機器のセキュリティ対策に関する法規制も進んでいます。
製品起因でセキュリティ事故が発生した場合、メーカーには改修コスト増や被害補償など直接的な不利益だけでなく、レピュテーションリスクも生じます。長く使われることが多いIoT製品のセキュリティ品質を高めるためには、既知の脆弱性はもちろん、製品リリース時点では未知の脆弱性をチェックすることが必要です。しかし、未知の脆弱性を診断する場合、テスト範囲の検討やテストデータ作成が難しく、テスト実施に時間や手間がかかるといった課題があります。この対応にはセキュリティベンダーなど専門家の力を要することが多いため、出荷前テストなど開発工程の下流で対処することになる傾向があり、脆弱性発覚時の影響や対応コストが増大しています。
■Onward Security社について
Onward Securityは2014年設立、AIおよび機械学習の機能によって自動化されたセキュリティ評価製品を開発する台湾発のサイバーセキュリティ専門企業です。コネクテッド製品のためのセキュリティ・コンプライアンス・ソリューションを提供しています。台湾をはじめ米国、日本など世界各国で特許保有、受賞歴があり、IoTおよびIIoT機器製造、金融、医療、テレコム、その他の産業の顧客企業が認証を取得する支援をしています。
詳細情報: https://www.onwardsecurity.com
■シーイーシーの製品開発支援サービスとセキュリティ関連サービスについて
シーイーシーは、お客様の「高い品質の製品づくり」をソフトウェアの面からサポートする「製品開発支援サービス」を提供しています。その一部であるセキュリティ検証サービスに、このたびSecDeviceを加え、セキュリティ品質向上支援を強化しました。上流工程からの品質向上支援や、ソフトウェア開発・テスト環境の構築、各種テストツールの提供、検証サービスとあわせ、これからもお客様の製品づくりを支援します。セキュリティ対策の観点では、製品開発/品質保証部門向けのセキュリティ検証サービス以外に、情報システムや工場システムのセキュリティ確保を支援するトータルセキュリティソリューション「Cyber NEXT」を提供しており、ビジネス環境におけるセキュリティ課題の解決を全方位から支援しています。
関連サービスサイト1: https://www.proveq.jp/
関連サービスサイト2: https://security.cec-ltd.co.jp/
※1 組み込み機器やソフトウェア製品のバグや未知の脆弱性、製品が内包するリスクを検出するためのテスト手法の一つ。長い文字列や記号の組み合わせなど、問題が起こりそうなデータや改変したデータを挿入し、その挙動を検出する検証手法。
※2 CVE :Common Vulnerabilities and Exposures。脆弱性情報データベース。
※記載の会社名・商品名などの固有名詞は各社の商標または登録商標です。