脅威分析とは
Spirentが提供する脅威分析は、お客様製品の仕様書等のドキュメントをレビュー、必要に応じて関係者インタビュー・実地訪問等も行い、守るべき資産と対象製品の置かれる環境について概要を把握します。それらの情報を踏まえ、攻撃者・攻撃シナリオ、脅威、脆弱性をリスト化し、放置した場合の影響度でランク付けを行い、対策案の提案を行います。
脅威分析は何故必要?
IoT機器等を対象としたセキュリティー規制・規格が整備され始めている昨今、開発現場においては、開発上流でのセキュリティー検討手法として、脅威分析の実施が求められています。では、脅威分析は何故必要とされているのでしょうか。その理由について解説します。
自社製品のセキュリティーリスクを把握する
これから設計をする機器にはどういったセキュリティーリスクが存在するのかを正しくつかむために、機器開発の上流である”企画”段階での脅威分析実施が有効に働きます。リスクを一通り把握することで、対策が必要なものや受容可能なものに分類が出来ます。
自社機器に必要なセキュリティー対策を考える
セキュリティー対策は、暗号化・改ざん検知などといったセキュリティー機能を起点として検討されがちですが、実際は個別の脅威に対応する対策を実施することが重要となります。開発上流での分析は、必須となる対策の見落としを防止したり、不要な対策の実施を防ぐ効果があります。
セキュリティー対策に妥当性を持たせる
根拠の無いまま実装したセキュリティー対策は、顧客などに対する説得力に欠けてしまいます。脅威分析の実施と分析結果から導き出した対策であれば、対外的にもアピールをすることが可能になります。
脅威分析を実施するメリット
上述の通り、脅威分析は機器開発の現場においても必須となってきていますが、自社機器の知識だけではなく、セキュリティーの専門知識、脅威や脆弱性のデータベース等が必要とされるため、自社のみで実施するのは非常に困難な状況です。ここでは、セキュリティーテストベンダーとタッグを組んで脅威分析を実施することで得られるメリットを記載します。
抜け漏れの無い分析を実現できる
コンサルタントの知見と脅威・脆弱性のデータベースを合わせて実施するため、網羅性の高い脅威分析を実現できます。
適切なセキュリティー対策を決定できる
脅威に対応する適切な対策を導き出す知見を持っているので、開発現場が最も求めている、最適なセキュリティー対策の実装をサポート可能です。
自社機器に関わるセキュリティーの知見を貯めることが出来る
分析結果はレポートとして提供されます。開発する機器において通常想定される環境を対象として分析をしているので、レポートは他モデル・後継モデル等の開発に際しても、リファレンスとしてご利用頂くことが可能です。
脅威分析の実施フロー
これまで述べてきた通り、脅威分析は抜け漏れの無い形で実施される必要があります。Spirentでは、コンサルタントの確かな知見のもと、以下のようなフローに則って進めていくことで、確かな分析結果をご提供します。
お問い合わせ
ご質問・お問い合わせは下記よりお願い致します。
Spirent メーカー情報Topへ
Spirentメーカー情報Topページへ戻りたい方は、以下をクリックください。