IoT セキュリティコンサルティングサービス
IoT セキュリティコンサルティングサービス
IoT 機器からクラウドサービスまで一貫したサイバーセキュリティ対策を提供
近年、IoT (Internet of Things) 機器とクラウドサービスの連携による IoT サービスが広がりつつあります。スマートファクトリー、スマートビルディング、スマートグリッドなど、ありとあらゆる分野で IoT サービスが導入されています。
このような環境では、IoT 機器とその機器につながるクラウドサービスも含めた統合的な運用が必要となります。そのため、サイバーセキュリティ対策においても、従来の機器単体向けの対策だけではなく、クラウドサービスまで一貫した対策が求められます。
サイバートラストは、1997 年より認証局の運用を行っております。サイバートラストの IoT セキュリティコンサルティングサービスでは、長年にわたる認証局の運用によって得られた豊富な知見と技術力を基に、IoT 機器からクラウドサービスまで一貫したサイバーセキュリティ対策を提供します。
セキュリティコンサルティングメニュー
サイバートラストでは、お客様の状況に応じた各種メニューをご用意しております。
「欧州サイバーレジリエンス法自己適合宣言書作成支援」および「セキュリティ要件適合評価及びラベリング制度 (JC-STAR) 取得支援」については、現在準備中です。
SBOM コンシェルジュ
近年、ソフトウェアサプライチェーンの複雑さが増しており、システムにどのようなソフトウェアが利用されているか正確に把握することが困難になっています。このような状況において、サプライチェーンの透明性向上のために、SBOM (Software Bill of Materials) の利用が注目を集めています。
では、SBOM をどのように作成し、どのように運用すればいいのか?そのようなお悩みにお応えするために、SBOM の相談窓口「SBOM コンシェルジュ」を設けております。
SBOM コンシェルジュの詳細については、以下のページをご参照ください。
認証局コンサルティング
IoT 機器の厳密な認証やデータの改ざん検知を目的として、認証局が発行する電子証明書を採用するケースが増えています。
しかし、認証局が適切に構築、運用されていない場合、悪意のある第三者により不正な電子証明書が発行され、IoT 機器のなりすましや改ざんされたファームウェアの展開、通信の秘密が確保されないといったセキュリティインシデントの発生に繋がります。
本コンサルティングメニューでは、1997 年からの認証局の運用実績と豊富な知見を基に、RFC 3647 に則した認証局運用規定の策定や運用設計支援を提供し、電子証明書の生成から失効までの安全なプロセス策定を支援します。
IEC 62443-4-2 簡易ギャップ分析
国際電気標準会議 (IEC: International Electrotechnical Commission) は、産業オートメーションおよび制御システム (IACS: Industrial Automation and Control System) のサイバーセキュリティに対し、国際規格として IEC 62443 を定めています。
IEC 62443 はいくつかのパートから構成されており、Part 4-2 (IEC 62443-4-2) では「コンポーネント(制御システム内で使用される機器やソフトウェアなどの製品)」のサイバーセキュリティ対策を実装するために必要なシステム要件や機能要件などが定められています。
本コンサルティングメニューでは、お客様の製品仕様書や製品説明書の記載内容と IEC 62443-4-2 で定められている内容とのギャップを指摘し、ギャップに対する標準的な対策を提案いたします。IEC 62443-4-2 や欧州サイバーレジリエンス法 (EU Cyber Resilience Act: CRA) への対応を検討されているお客様にお勧めのメニューです。
ETSI EN 303 645 簡易ギャップ分析
欧州電気通信標準化機構 (ETSI: European Telecommunications Standards Institute) は、消費者向け IoT 機器のサイバーセキュリティに対し、欧州標準の規格として ETSI EN 303 645 を定めています。
ETSI EN 303 645 には、IoT 機器を含むシステムに対してサイバーセキュリティ対策を実装するために必要なシステム要件や機能要件などが定められています。
本コンサルティングメニューでは、お客様の製品仕様書や製品説明書の記載内容と ETSI EN 303 645 で定められている内容とのギャップを指摘し、ギャップに対する標準的な対策を提案いたします。ETSI EN 303 645 や欧州サイバーレジリエンス法 (EU Cyber Resilience Act: CRA) への対応を検討されているお客様にお勧めのメニューです。
SEMI E187 / E188 簡易ギャップ分析
国際半導体製造装置材料協会 (SEMI: Semiconductor Equipment and Materials International) は、半導体製造装置に対し、サイバーセキュリティ規格として SEMI E187 / E188 を定めています。
SEMI E187 / E188 には、半導体製造装置を含むシステムに対してサイバーセキュリティ対策を実装するために必要なシステム要件や機能要件などが定められています。
本コンサルティングメニューでは、お客様の製品仕様書や製品説明書の記載内容と SEMI E187 / E188 で定められている内容とのギャップを指摘し、お客様による自己適合宣言作成を支援します。
型式認証取得支援 (ISO 21434 / UN-R155)
2020 年 4 月施行の道路運送車両法および 2021 年 1 月の同法保安基準改正 (UN-R155 導入) により、自動車に対しサイバーセキュリティおよびソフトウェアアップデートの基準が適用されました。
車両製造者は国際規格 (ISO 21434、ISO 24089) および法規 (UN-R155、UN-R156) で規定される要求事項に従い、サイバーセキュリティおよびソフトウェアップデートの基準をクリアして型式認定を取得する必要があります。また、サプライヤにおいても、車両製造者の要求に応じたサイバーセキュリティ対策とエビデンス(リスクアセスメント報告書、テスト仕様書など)の準備が求められます。
本セキュリティコンサルティングメニューでは、リスクアセスメントに加え、製品開発時のサイバーセキュリティ要求の策定支援により、お客様の型式認証取得をご支援します。
IoT リスクアセスメント
本コンサルティングメニューでは、お客様のシステムの情報資産のリスクアセスメント (リスク評価) を行い、リスクに対して標準的な対策を提案いたします。
具体的には、サイバーセキュリティ観点でのお客様のシステム構成図を作成し、サイバーセキュリティの対象となる情報資産の洗い出しを行います。その資産に対し、被害シナリオ、脅威シナリオ、影響レベル、攻撃可能性を加味し、リスク評価を行います。
IoT 脆弱性診断サービス
本コンサルティングメニューでは、お客様のシステムに対して、IoT デバイス診断、ペネトレーションテストなどを行います。
IoT デバイス診断では、お客様の IoT 機器に対して、サイバー攻撃により侵入される可能性のあるネットワークポートに侵入試行を実施し、侵入可否を報告します。
ペネトレーションテストでは、既知の脆弱性情報を用いてお客様のシステム、アプリケーション、IoT 機器などに侵入を試みます。これにより、不正侵入の可能性、不正侵入成功後の権限昇格、情報漏洩、情報改ざん、サービス停止などのリスクを特定します。
IoT 脆弱性診断サービスの詳細については、以下のページをご参照ください。
