オープン化した制御システム等に対して、
経験豊富なコンサルタントが、手動とツールを併用して脆弱性を診断
昨今、ゲーム機や電子書籍リーダー、デジタル家電や医療用機器、車載システム等、さまざまなデバイスをネットワークに接続することで、より付加価値の高いサービスが提供されるようになってきました。また、これまで外部に対しては閉じられていて、独自の系で稼働していた産業用の制御システム等も、IT(情報技術)の発展とともに各機器がオープン化し、情報システムとの連携が進んできています。
一方で、デバイスに搭載されるオペレーティングシステム(OS)やプログラムの脆弱性が見つかると、それらのデバイスがネットワーク経由で外部から攻撃される危険があります。制御システム等の系内にマルウェア等が混入すると、大規模なインシデント(事件や障害など)に発展する危険があります。
本サービスは、これらデバイスの抱える脆弱性を、既知・未知のものを含めて出荷前に可能な限り検出し、問題点を事前に解消します。これにより、出荷後では改修が困難なデバイスを、より安全な状態でユーザに提供することを支援します。
さらに、本サービスと、NRIセキュアの各種診断サービスやノウハウを組み合わせ、これらシステムの系全体に対し、想定される脅威に対しての安全性検証を実施することが可能になります。
各種デバイスの診断に加え、デバイスを含むシステムの系全体に対し、プラットフォーム診断やWebアプリケーション診断など、NRIセキュアの各種診断サービスやノウハウを組み合わせ、想定される脅威に対しての安全性検証サービスも提供しています。
IPベースのネットワークに接続して利用するデバイスを対象として、以下のような項目について診断を行います。
No | 診断項目 | 概要 |
---|---|---|
1 | 未知の脆弱性診断 | ロバストネス検証(開発者にとって想定外の異常データを自動生成して送信し、対象の挙動の変化を確認する) ・複数のファジングツールを利用 |
2 | 既知の脆弱性診断 | ①既存プロトコル、サービスに対する診断 |
②アプリケーションプログラムに対する診断 | ||
③DoS攻撃耐性診断 (Denial of Service:ネットワークを構成する機器等に対して過負荷を与え、サービスを提供不能な状態にすること) |
||
3 | オプション | EDSA(Embedded Device Security Assurance:制御システムに関する国際的なセキュリティ基準)とのフィットギャップ分析 ・制御システムを対象として実施 |
ネットワーク組込機器(製品デバイス、プロセス)に対し、多数のプラットフォーム診断経験を持つ熟練のコンサルタントによって、ツールと手動を併用した脆弱性の確認を行います。
複数のツールを利用した幅広い既知の脆弱性(類型)への対応と、Fuzzingによる未知の脆弱性への対応に加え、マニュアル検証による誤検知/検知漏れの防止、機器に与える影響を判り易く解説します。
国内外で認められたFuzzing(異常パケット自動生成)ツールを複数利用し、ロバストネス・テストを実施。出荷前の認知されていないプロダクト脆弱性を、事前に特定します。
Fuzzing時に機器やプロセスが異常をきたした際には、事象を再現するパケットをご提供します。
国内制御システム利用業界では、製品の調達要件として、国際計測制御学会(ISA)が主導する制御システムセキュリティ基準、EDSA(Embedded Device Security Assurance)に準拠していることを重視してきています。
弊社診断では、EDSAとのFit&Gapも確認可能です。
個別見積り