開発時におけるセキュリティ対策のポイント

開発時におけるセキュリティ対策においては、製品リリース前の開発段階時において脆弱性の潰し込みが非常に重要となります。下記図のように、「ゴール設定」「対策」「確認」の3ステップを通じて、最新の脆弱性や攻撃トレンドを網羅する必要があります。この3ステップを実現するためには、日々増加する最新の脆弱性に対する網羅性・十分性の担保や、対策の効率化が求められますが、開発現場はセキュリティに関する専門知識・経験の不足もあり、これらの実現が課題となっています。

マクニカでは、その中でも特に重要となる「リスクアセスメント」「ファームウェア診断」「ペネトレーションテスト」サービスを提供しております。

リスクアセスメント

リスクアセスメントは、①抜け漏れの無いリスク把握 ②設計上流段階での対策反映 ③作る側・使う側の責任範囲の切り分けの3つの効果により、自社で達成するべきセキュリティゴールを明確にすることが可能です。お客様製品の仕様書レビューや関係者インタビューを通じて、守るべき資産と対象製品の置かれる状況を把握します。それらの情報を踏まえ、攻撃者・攻撃シナリオ、脅威、脆弱性をリストアップし、放置した場合の影響度でランク付けを実施します。最終レポートには、推奨される対策案も盛り込みます。

ファームウェア診断

IoTデバイスのセキュリティ対策でファームウェアは重要なポイントとなります。マクニカで提供しているファームウェア診断サービスは、特に脆弱性が公開される件数が多いオープンソースを中心に、重要なセキュリティチェックポイントをデータベースに集積する事で、診断対象のファームウェアと照合し、脆弱性を可視化します。

ファームウェアのみで短時間で診断できるため日々の開発業務にて実施頂けるだけでなく、さらに設計の上流段階での活用により、対策に伴う手戻りを削減できます。また、バイナリで診断できるため、外部から調達するコンポーネントについても診断する事により、サプライチェーンリスク対策にも有効です。

ペネトレーションテスト

ペネトレーションテストは、ゴール設定が十分であったか、実装したセキュリティ対策が有効に働いているかの確認を目的として実施します。マクニカがパートナーと提供するペネトレーションテストは、幅広い製品・システムに対応可能が可能です。

 

提供頂いた情報を元にご提案書を作成、お客様と協議のうえ、ご要望に合ったテストを実施します。脆弱性修正後の再テストもご提供していますので、1回目のテストで見つかった脆弱性が修正されているかをご確認いただけます。

IoTデバイス開発時のセキュリティ対策の網羅性の向上と効率化

マクニカで提供している「リスクアセスメント」「ファームウェア診断」「ペネトレーションテスト」は、相互に連携して実施する事によりセキュリティ対策の網羅性の向上と効率化の実現をご支援します。

 

 

お客様に最適なIoTセキュリティ対策支援をさせて頂きますので、お気軽にお問合せください。