お客様事例
28.Dec.2020
世界有名な IoT デバイス メーカーは、HERCULES SecFlow と HERCULES SecDevice を使用し、安全な開発 ライフサイクル(SSDLC)を実現
顧客情報
A 社は世界有名な IoT デバイスメーカーです。長年にわたりネットワーク製品 市場に深く関わっており、高い評価を得ています。その製品の多くは世界中で販売 されており、市場シェアが高いため、モノのインターネットの時代では、ハッカーが攻 撃を仕掛ける標的になっています。
IoT デバイスへの頻繁な攻撃の中で、A 社が解決すべきことは、ファームウェア証明書の不 適切な処理によって引き起こされる悪意のある攻撃、アカウントシークレットは弱い暗号化で保存 されるため、ハッカーはデバイスにハッキングすることができます。デバイスの脆弱性は、ハッカーの 攻撃経路の踏み台になる可能性があり、深刻な場合には、消費者のプライバシー漏洩のリスクにつな がる可能性があります。これらの問題は、消費者や政府機関の懸念を引き起こしています。
A 社は、開発プロセス中に Security by Design の概念を導入することで、これらのセキュリティ問題の原因を 防ぐことができると考えています。よって、安全な開発ライフサイクル(SSDLC、Secure Software Development Life Cycle)を導入して、このような問題の発生を早期に減らすことにしました。
IoT デバイスへの頻繁な攻撃の中で、A 社が解決すべきことは、ファームウェア証明書の不 適切な処理によって引き起こされる悪意のある攻撃、アカウントシークレットは弱い暗号化で保存 されるため、ハッカーはデバイスにハッキングすることができます。デバイスの脆弱性は、ハッカーの 攻撃経路の踏み台になる可能性があり、深刻な場合には、消費者のプライバシー漏洩のリスクにつな がる可能性があります。これらの問題は、消費者や政府機関の懸念を引き起こしています。
A 社は、開発プロセス中に Security by Design の概念を導入することで、これらのセキュリティ問題の原因を 防ぐことができると考えています。よって、安全な開発ライフサイクル(SSDLC、Secure Software Development Life Cycle)を導入して、このような問題の発生を早期に減らすことにしました。
挑戦に直面する
A 社が開発プロセスにセキュリティ要素を早期に導入することを決定したときから、開発チームは過去の開発プロセス中に製品 の不安全な要素について考え始めました。例えば:
- 自社製品が多いため、モデル仕様もたくさんあります。製品モデルを確認して脆弱性を見つけるため、時間がかかります。
- オープンソースソフトウェア(Open Source)は多数あり、分散しているため、サードパーティパッケージを利用し、脆弱性 を把握するのは困難です。
- 脆弱性情報の把握が遅すぎるため、情報セキュリティの専門家に公開される速度に追いつくことができません。
- 既存の管理ツールは、安全開発ライフサイクル(SSDLC, Secure Software Development Life Cycle)のセキュリティ 要件を満たすことができません。
A 社は、解決すべき上記の問題の一覧を知った後、その課題を解決できる支援ツールを見つけ始めましたが、市場に出回って いるツールのほとんどは単一の開発管理、例えば脆弱性スキャンと脆弱性管理などのニーズを満たすことしかできないことがわ かりました。上記の問題が解決される前に、複数の新しいツールが導入されると、セキュリティの問題が解決されないだけでなく、 複数のツールの管理が増加します。したがって、使用するツールは簡単に管理できることを重要な考慮事項の 1 つになります。 いくつかの評価を行った後、A 社は開発プロセスの幅とセキュリティテストの深さを満たし、上記の課題を解決できる「SecFlow 製品情報セキュリティ管理システム」と「SecDevice 脆弱性検出自動化ツール」の採用を決定しました。
導入プログラム
A 社は「SecFlow 製品情報セキュリティ管理システム」を使用し、セキュリティプロセス管理、製品セキュリティ脆弱性管理と アクティブな製品セキュリティイベントの監視と通知なとの機能で、開発チーム、セキュリティチームとメンテナンスチームの編 成と連携を支援し、安全なソフトウェア開発ライフサイクル(SSDLC)を迅速に確立します。同時に「SecDevice 脆弱性検出自 動化ツール」を使用し、製品のセキュリティテストと安全性の評価を行っています。この二つのツールを使用するポイントは:
製品管理チームは独自の脆弱性データベースを構築し、オープンソースの脆弱性を自動的にカ確認します
A 社のセキュリティチームは今まで、脆弱性情報を受動的に収集し、手動の方法を使用して製品担当者に脆弱性対応策を策 定するように通知してきました。SecFlow を導入した後、彼らは毎日セキュリティインシデントと脆弱性情報を約 70 個の情報 源を届けてきました。インテリジェンス関連機能により、情報セキュリティインシデントのデータベースに新たに公開された脆 弱性が自動的にリストされ、PM チーム、RD チームとセキュリティチームに通知します。これにより、製品セキュリティチーム はセキュリティインシデントへの対応時間を 2 〜 3 か月から 2 週間に短縮しました。
セキュリティチームは、リアルタイムのセキュリティインテリジェンスを使用し、新たに公開された脆弱性に対する早期の対 策を策定できます
A 社のセキュリティチームは今まで、脆弱性情報を受動的に収集し、手動の方法を使用して製品担当者に脆弱性対応策を策 定するように通知してきました。SecFlow を導入した後、彼らは毎日セキュリティインシデントと脆弱性情報を約 70 個の情報 源を届けてきました。インテリジェンス関連機能により、情報セキュリティインシデントのデータベースに新たに公開された脆 弱性が自動的にリストされ、PM チーム、RD チームとセキュリティチームに通知します。これにより、製品セキュリティチーム はセキュリティインシデントへの対応時間を 2 〜 3 か月から 2 週間に短縮しました。
テストチームは、未知の脆弱性をテストスコープに組み込みます
製品が出荷される前の品質テストと検証段階では、機能と仕様の検証に加えて、A 社のテストチームは SecDevice のファジ ングテスト機能を使用して、「バッファオーバーフロー」、「フォーマット文字列」、「 コマンドインジェクション」などとその他 の未知の脆弱性を検出できます。悪意のある攻撃に対する製品の堅牢性も検証できます。同時に、SecDevice は、製品の安 全性テストツールとしても使用され、サプライヤーの納品を検証し、テストと納品中に製品に品質を確保します。
セキュリティチームはサードパーティツールを統合し、最も完全なテスト記録を保存します
A 社のセキュリティチームは、SecFlow のテストレポート管理機能を使用して、製品開発中に SecDevice とほかのサードパ ーティセキュリティツールが発生したセキュリティテストレポートと対応記録を保存し、将来に社内だけではなく、外部検査に も情報セキュリティテストデータを利用できます。
導入メリット
SecFlow と SecDevice を導入した後、Security by Design の実 行することに加えて、いくつかの全体的な利点ももたらします:
- 単一のシステムで製品管理チームの「製品情報セキュリティリ スク管理」とセキュリティチームの「インシデント対応」のニー ズを満たし、管理の複雑さを軽減します。
- 単一のシステムで SSDLC プロセスにセキュリティチームの全て の管理要件を満たし、人員の学習コストを削減します。
- インテリジェンス収集と相関機能は、セキュリティチームがリア ルタイムで脆弱性を見つけ、対応時間を短縮することに役立ち ます。
- 開発プロセス中にテストチームを支援して、既知と未知の脆弱 性を検出し、製造前の製品品質を改善します。
IoT の世界に、インターネットに接続されているデバイスの種類が 多くなり、ハッカーが攻撃できる脆弱性もより多くなります。ネットワ ーク化されたすべてのデバイスが製造前のテストを強化し、開発段 階に先立って設計上の安全性を考えなければなりません。よって、 製造後にに脆弱性の見つかるリスクを大幅に減らすことができます。