News

LEADING BRAND IN SECURITY ASSESSMENT - ONWARD

未知の脆弱性を診断し、セキュアなIoT製品づくりを支援

2021 / 12 / 16

IoT製品へのサイバー攻撃増加に対応、ファジングツール「SecDevice」を提供開始

株式会社シーイーシー(本社:東京都渋谷区、代表取締役社長:大石 仁史、以下 シーイーシー)は、IoT製品のセキュリティ品質向上を支援するため、組み込みソフトウェアや車載OS、ネットワークサービスの脆弱性リスクを可視化するセキュリティ検証サービスに、台湾Onward Security社の「HERCULES SecDevice(以下 SecDevice)」を加え、本日より提供開始します。

今回、セキュリティ検証サービスに加えた「SecDevice」は、未知の脆弱性を診断する代表的方法である「ファジング※1」によるテストを、特許技術のスマート検証手法によって短時間かつ高精度に実施できる脆弱性診断ツールです。自動車、家電、医療機器、産業機器に搭載された通信・制御装置や組み込み機器などIoT製品で利用される主要な通信プロトコルに対応し、既知の脆弱性テストを含む数多くのセキュリティテストを自動実行することができます。

図1:SecDeviceによるファジングテストの概要

「SecDevice」はIoT製品のセキュリティチェックを簡易化・省力化し、セキュリティ品質確保を支援します。開発工程の早期からファジングを含む脆弱性診断を実施することで手戻りを削減(セキュリティ品質チェックのシフトレフト)し、製品開発工程全体の効率化に寄与します。

図2:SecDevice導入によるセキュリティ品質チェックのシフトレフト

「SecDevice」の特長

早期に脆弱性リスクを発見、対応工数を削減

特許技術を取得しているスマート検証手法を搭載。面倒で工数がかかるファジングテストを短時間かつ高精度に実施することができます。その他、バックドアスキャンやCVE※2をベースとした既知の脆弱性テストなど、6つのテストカテゴリー、170個のテスト項目に対応しています。テスト対象を自動的に検出、識別し、脆弱性テスト/スキャンを自動実施可能。セキュリティリスクの早期発見を支援します。

IoT機器で使用される主要な通信プロトコルに対応

組み込み機器のセキュリティ保証に関する「EDSA認証(制御機器認証)」に基づくファジング対象プロトコルに対応しているほか、ハッカーが狙う脆弱性要因のベスト10(OWASP TOP 10)にも対応しています(Ethernet、IPv4、ICMP、UDP、ARPほか、IIoTや医療機器プロトコル、Webアプリケーションや無線通信など)。また、独自プロトコルのテストにも対応できます。

IEC62443、ソフトウェア開発ライフサイクル(SDLC)に対応

産業用自動制御システム(IACS:Industrial Automation Control System)のコンポーネントに関する技術的セキュリティ要件を示した、国際標準規格IEC62443-4-2に対応しています。また、ソフトウェア開発ライフサイクルにセキュリティテストを組み込む「セキュアソフトウェア開発ライフサイクル(SSDLC)」を構築・運用する際にも適用できます。

図3:SecDeviceの概要

「SecDevice」の詳細:https://www.proveq.jp/verification/security/secdevice/

シーイーシーは今後、「SecDevice」の導入・運用や同ツールを活用した脆弱性診断など、関連サービスを順次拡充する予定です。

 

In the News