IoT SECURITY SERVICES
IoT/組み込み機器セキュリティ診断サービス
FeatureIoT/組み込み機器セキュリティ検査の特徴
本サービスではデバイス含めIoTサービス全体へのセキュリティ検査が可能です。
デバイス単体の検証だけではなく、サービスを構成するWeb/APIサーバーやモバイルアプリを含めたエコシステム全体の検証を実施します。
OWASP
OWASP IoT Top10やOWASP ISVS(IoTセキュリティ検証基準)をもとに評価をおこないます。IoTサービス全体のセキュリティ評価も可能ですが、デバイス単体でのリバースエンジニアリングの検証や、デバイスとサーバー/アプリケーションを繋ぐAPI部分のみの検証でも請け負うことが可能です。診断目的やご予算に応じて弊社エンジニアより最適な検証プランをご案内いたします。また特定の検証ガイドラインや業界ガイドラインへの準拠が必要な場合も事前にご連絡頂ければ対応可否についてご案内致します。
診断項目とOWASP IoT top10項目との関連性
IoT-Security-Verification-Standard
FLOW診断の流れ
診断開始~報告書納品までは案件によって異なります。お急ぎのお客様はお問い合わせ時にお知らせください。
お打ち合わせや報告会はオンラインでも可能です。
-
デバイス診断
-
1.デバイス情報のご提供
診断対象製品(またはプロトタイプ)および設計情報をご提出ください
-
2.予備調査
予備調査の結果を元に、詳細な診断メニューの決定
-
3.設定・ネットワーク診断
・設定の診断 : 工場出荷時の設定・設定の柔軟性が主要なユースケースにおいて
適切であるかの診断、および初期設定パスワードが脆弱でないかの診断
・Webアプリケーション形式の設定インターフェース・ダッシュボード等
に対するWebアプリケーション診断
・ネットワークポートスキャン・マニュアル未記載のサービスが残存していないか
検証・エクスプロイト可能性の評価
・パケットキャプチャによる通信の秘匿性の検証
・アップデートの安全性評価 -
4.物理的診断
・実際に機器を解体し、解体の難度・耐タンパ性を評価する
・使用されている電子部品の特定・デバッグ等の非公式なインターフェースの存在の検証
・デバッグインターフェースの利用可能性の検証
・ファームウェア抽出・解析の可能性・難度の評価 -
5.提供を受けたファームウェアイメージへ内部解析
・機器のOSおよびWebアプリケーション等へのハードコードパスワードの設定有無の検証
・Webアプリケーション等へのバックドアの有無の検証
-