サイバートラストの「サイバートラストIoT脆弱性診断サービス」は、IoTシステムを対象とした、脆弱性診断のサービスである。IoTデバイスからクラウド側のバックエンドのシステムまで、IoTサービス全体を対象とする。IoTデバイスベンダーやIoTサービス事業者に向け提供する。

サイバートラストIoT脆弱性診断サービスの概要
サイバートラストIoT脆弱性診断サービスの概要
(出所:サイバートラスト)
[画像のクリックで拡大表示]

 IoTサービス全体を対象として、脆弱性を診断する。具体的には、IoTデバイスの脆弱性診断、ネットワークの脆弱性診断、Webアプリケーションの脆弱性診断、を組み合わせて提供する。検査ツールだけでは見つけられない脆弱性についても、エンジニアがきめ細かく手動で検査するという。

 デバイス/ネットワーク/Webアプリケーションそれぞれの診断項目は、サイバートラストの脆弱性診断サービスの実績や、情報処理推進機構(IPA)など各種情報セキュリティ機関の勧告をベースに選んでいる。例えば、IoTデバイス診断では、通信、認証メカニズムと強度、ファームウエア/ハードウエアの解析、など。

 診断結果は報告書として提出する。開発者向けには、脆弱性を発見した箇所と、その対策方法を記載、経営層向けには、リスクのレベルを判断しやすいよう、評価内容を記載する。ニーズに応じて、定期的な診断メニューも提供する。

サイバートラストIoT脆弱性診断サービスの概要
用途と機能IoTシステムを対象とした、脆弱性診断のコンサルティングサービス
診断内容IoTサービス全体を対象に、脆弱性を診断する。IoTデバイスの脆弱性診断、ネットワークの脆弱性診断、Webアプリケーションの脆弱性診断、を組み合わせて提供する
診断方法検査ツールだけでは見つけられない脆弱性についても、エンジニアがきめ細かく手動で検査する
診断項目IoTデバイス診断の場合、
■通信(診断対象デバイスの通信内容を改ざんする試行やバイパスする試行を実行し、不正操作や情報の奪取が可能かどうかを診断する)
■認証(パスワードポリシーが脆弱かどうかや、パスワードが初期設定のまま利用されていないかどうかを診断する。また、パスワード再設定のメカニズムなども評価する)
■ファームウエア(アップデートファイルやアップデートメカニズムを解析する。これにより、不正なアップデートの適用が可能かどうかや、機密情報の取得が可能かどうかを診断する)
■ハードウエア(直接ハードウエアに対して有線で接続し、ログの閲覧や機密情報の取得が可能かどうかを診断する)
■その他(対象デバイス固有の特性を利用し、攻撃者にとって優位な操作ができないかを診断する。また、対象とするデバイス固有の既知の脆弱性があるかどうかも確認する)
価格
(税別)
案件ごとに個別見積もりで、98万円(Webアプリケーション診断がWeb API×30リクエスト、ネットワーク診断がIPアドレス×3の場合)から。エンジニアが事前にヒアリングして見積もる
発表日2017年9月14日
提供開始日2017年9月14日