製品概要
これまで外部に対しては閉じられていて、独自の系で稼働していた産業用の制御システム等も、IT(情報技術)の発展とともに各機器がオープン化し、情報システムとの連携が進んできています。
一方で、デバイスに搭載されるオペレーティングシステム(OS)やプログラムの脆弱性が見つかると、それらのデバイスがネットワーク経由で外部から攻撃される危険があります。制御システム等の系内にマルウェア等が混入すると、大規模なインシデント(事件や障害など)に発展する危険があります。
本サービスは、これらデバイスの抱える脆弱性を、既知・未知のものを含めて出荷前に可能な限り検出し、問題点を事前に解消します。これにより、出荷後では改修が困難なデバイスを、より安全な状態でユーザに提供することを支援します。
さらに、本サービスと、NRIセキュアの各種診断サービスやノウハウを組み合わせ、これらシステムの系全体に対し、想定される脅威に対しての安全性検証を実施することが可能になります。
■各種デバイスを含むシステムの系全体の安全性診断も実施
各種デバイスの診断に加え、デバイスを含むシステムの系全体に対し、プラットフォーム診断やWebアプリケーション診断など、NRIセキュアの各種診断サービスやノウハウを組み合わせ、想定される脅威に対しての安全性検証サービスも提供しています。
■「デバイス・セキュリティ診断」の項目とその概要
IPベースのネットワークに接続して利用するデバイスを対象として、以下のような項目について診断を行います。
1.未知の脆弱性診断
ロバストネス検証(開発者にとって想定外の異常データを自動生成して送信し、対象の挙動の変化を確認する)
・複数のファジングツールを利用
2 既知の脆弱性診断
①既存プロトコル、サービスに対する診断
②アプリケーションプログラムに対する診断
③DoS攻撃耐性診断
3 オプション EDSA(Embedded Device Security Assurance:制御システムに関する国際的なセキュリティ基準)とのフィットギャップ分析
・制御システムを対象として実施
特徴
<特長1>
ネットワーク組込機器(製品デバイス、プロセス)に対し、多数のプラットフォーム診断経験を持つ熟練のコンサルタントによって、ツールと手動を併用した脆弱性の確認を行います。
<特長2>
複数のツールを利用した幅広い既知の脆弱性(類型)への対応と、Fuzzingによる未知の脆弱性への対応に加え、マニュアル検証による誤検知/検知漏れの防止、機器に与える影響を判り易く解説します。
<特長3>
国内外で認められたFuzzing(異常パケット自動生成)ツールを複数利用し、ロバストネス・テストを実施。出荷前の認知されていないプロダクト脆弱性を、事前に特定します。
Fuzzing時に機器やプロセスが異常をきたした際には、事象を再現するパケットをご提供します。
<特長4>
国内制御システム利用業界では、製品の調達要件として、国際計測制御学会(ISA)が主導する制御システムセキュリティ基準、EDSA(Embedded Device Security Assurance)に準拠していることを重視してきています。
弊社診断では、EDSAとのFit&Gapも確認可能です。
