セキュリティー設計を実現するステップ

以下の図は、IoT機器の製品ライフサイクルにおいて必要となるセキュリティー対策の例を示したものです。各設計フェーズにおいて、あらかじめ想定する対策を整理します。

図1：セキュリティー設計を実現するステップ

1．正しいセキュリティー設計の進め方がわからない

セキュリティー設計を適切に実施することで、必要な対策を施した製品リリースにつなげることができますが、なかなか検討が進められないケースが多くあります。その原因は、あるべきセキュリティー設計上の実施項目を把握できていないことにあります。特に、最新の脅威/攻撃動向を含むセキュリティーの専門知識・技術・経験の不足が実現の妨げになっています。

2．自社製品に必要なセキュリティー対策がわからない

いざセキュリティー機能の実装を検討し始めた段階で、数多くあるセキュリティー対策の内、開発機器に必要な対策の決定が出来ないケースが多くあります。それぞれのセキュリティー対策がどのようなサイバー攻撃による脅威に対応できるかを理解できていないことが原因で生じます。

3．必要なセキュリティー対策に関する理解が得られず予算が取れない

実際にセキュリティー対策が決定しても、開発・実装のための予算が取得できないケースが多く発生しています。その原因は、客観的に正しい対策を実施しているという根拠が不足している為です。セキュリティー対策の決定に必要な根拠の明確化には、セキュリティーの専門知識が不可欠です。

1．脅威分析

お客様の製品 / システム構成から、セキュリティー上の脅威と脆弱性を分析し、対応を要するリスクを、放置した場合の影響度別に優先順位を分類します。専門家の持つ知見・データベースから正確な結果の提供し、お客様のみでは実現できない抜け漏れの無い分析を可能とします。

2．セキュリティー機能・構成決定支援

洗い出した脅威・脆弱性を踏まえ、対策案をご提供します。優先度に基づき取組みを決定することで、本当に必要なセキュリティー対策を製品に実装することができます。

3．ペネトレーションテスト

セキュリティー設計実現に必要な項目であるテスト段階において、実装された対策について模擬攻撃をおこない、対策が有効に機能しているか検証します。攻撃者によって実際の運用環境において狙われる脆弱性・リスクを専門家が再現するため、製品に予期していない脆弱性を残していないか確認が可能です。

提供サービスイメージ

冒頭に示した図1(セキュリティー設計を実現するステップ)の中から、弊社で提供可能なサービスを示します。すでにおわかりの様にセキュリティー設計で大きな負担となる項目を中心にサポートさせていただきます。

図2：提供サービス