サイバートラストは9月14日、デバイスからクラウドまでのIoTサービス全体を対象に脆弱性を診断する「サイバートラスト IoT 脆弱性診断サービス」の提供を同日から開始した

今回新たに開発した「IoT デバイス」を対象にした診断領域に加え、ネットワーク診断、Web アプリケーション診断などを行う。

診断項目は、情報処理推進機構(IPA)をはじめとした情報セキュリティ機関の勧告、サイバートラストの脆弱性診断の実績にもとづき選定。また、診断は検査ツールでは通常検知できない脆弱性などもエンジニアによる検査を実施する。

提供形態は、コンサルティング形式で、エンジニアが事前ヒアリングを行い案件ごとに見積り。報告書には経営陣向けにリスクレベルが判断しやすい評価報告に加え、開発者が改修しやすい詳細な脆弱性発見個所と対策方法も提示するという。見積り価格は、98万円 (税別)から。

サイバートラスト IoT 脆弱性診断サービスの構成

サービスは、IoTデバイスメーカーやIoTサービス事業者などを想定しているという。

IoT デバイス診断の診断項目

通信 対象デバイスから通信される内容の改ざんやバイパスなどを試行し、不正操作や情報の奪取が可能かどうかを診断
認証 脆弱なパスワードポリシーや初期設定のまま利用されていないかを診断。また、パスワード再設定のメカニズムなども評価
ファームウェア アップデートのファイルやメカニズムを解析し、不正なアップデートの適用や、機密情報の取得が可能かどうかを診断
ハードウェア 直接ハードウェアに対して有線で接続し、ログの閲覧や機密情報の取得が可能かどうかを診断
その他 象デバイス固有の特性を利用し、攻撃者にとって優位な操作が出来ないかを診断。また、対象とするデバイス固有の既知の脆弱性の有無も確認