NECソリューションイノベータは、「NEC IoTセキュリティ診断サービス」の提供を2020年3月24日より開始した。近年、インターネットにつながるIoT機器を悪用したサイバー攻撃により、インターネットに障害を及ぼす事案が増加している。
攻撃手法としては、IoT機器の管理パスワードが不適切に管理・設定されている、といったセキュリティ上の脆弱性を悪用するケースが多いという。こうした中、2020年4月1日より、電気通信事業法に基づく端末設備等規則及び電気通信主任技術者規則の一部を改正する省令
が施行される。これにより、直接インターネットに接続するIoT機器(例えば、ルーターやネットワークカメラなど)に対して、アクセス制御機能やID/パスワードの適切な設定を促す機能、ファームウェアの更新機能など、セキュリティ対策の基本機能の実装が、義務付けられるようになる。このような背景から、NECソリューションイノベータは、「NEC IoTセキュリティ診断サービス」の提供を開始した。同社が培った、脆弱性診断や組み込みセキュリティの知見を活かした診断、IoT機器固有のリスク分析をサービスメニューとして提供することで、企業のより安全な製品リリースをサポートしていく。同サービスの特徴は下記になる。
1. 新セキュリティ基準に基づくリスク分析[Standard]法令の一部改正により、対象となるIoT機器に対して定められた、新セキュリティ基準をベースとした検証項目(1)についてのアセスメントを支援する。また、総務省が認定する電気通信事業法に基づく技術基準適合認定の登録認定機関と連携して、技術基準適合認定の取得をサポートする。さらに、数多くの脆弱性診断実績を持つ当社独自の検証項目(2)で評価を実施し、検証結果レポートを発行する。<検証項目(1):端末整備等規則の改正4項目に対応>・アクセス制御機能(例)Web管理画面に対するID・パスワード認証機能・初期パスワードの強制変更機能・ファームウェアの更新機能・再起動後のセキュリティ設定維持<検証項目(2):当社独自の検証項目(例)>・サービスのバナー情報から不要な情報が漏えいしていないこと・バナー情報に記載されているバージョン情報が最新であること・認証情報未入力では設定変更画面に直接アクセスできないこと・認証情報の設定変更をログで監査可能であること
2. IoT機器固有のリスク分析[Advanced]Standardの基本的な検証に加え、脆弱性診断やペネトレーションテスト、ファームウェア解析や個別のガイドラインに基づくアセスメントなどの高度な検証サービスにより、IoT機器固有のリスク分析を実施し、推奨対策を提示する。<検証項目(例)>・IoTハニーポットテスト・デバイスからファームウェアの抽出容易性を検証・暗号化実施有無の確認
価格はStandard(ベースライン評価)が300,000円〜、Advanced(リスクベース評価)が1,000,000円。今後3年間で5,000万円の販売を目指すとした。
