IoTセキュリティテスト
シリコンからクラウドAPIまで、コネクテッド製品をエンドツーエンドで保護します。ハードウェア、ファームウェア、モバイルアプリ、クラウドインフラ、通信プロトコルにわたる脆弱性を、攻撃者より先に特定します。
当社のIoTセキュリティテストプロセス
1. スコーピング
デバイス、インターフェース および攻撃対象領域を定義
2. 評価
ハードウェア、ファームウェア、 ネットワーク、クラウドにわたる 手動テスト
3. レポート
リスク評価と影響の 証明を伴う 詳細な調査結果
4. 修正
実行可能なガイダンス とセキュアな設計の 推奨事項
5. 再テスト&検証
修正を検証し 証明書を 発行
概要
IoTセキュリティとは、コネクテッドデバイスと、それらが通信するネットワークを保護する取り組みであり、物理的なハードウェア、その上で動作するファームウェア、利用する無線およびネットワークのリンク、ならびに通信先のコンパニオンアプリやクラウドサービスにまたがります。IoTセキュリティテストは、ハードウェア、ファームウェア、無線およびネットワーク通信、コンパニオンアプリ、クラウドAPIを含む、エコシステム全体にわたってコネクテッドデバイスを評価します。
方法論&標準
各実施は、ハードウェア、ファームウェア、無線、コンパニオンアプリ、クラウドにわたる攻撃対象領域全体を定義するスコープ策定フェーズから始まり、テスト開始前に適切なインターフェースと標準が合意されます。作業はOWASP IoT Top 10、OWASP IoT Security Testing Guide(ISTG)、OWASP Firmware Security Testing Methodology(FSTM)に準拠し、EU CRAおよびUK PSTI向けにETSI EN 303 645にマッピングされます。
含まれる内容
テストの種類
IoT侵入テスト
デバイス、その無線、コンパニオンアプリ、クラウドAPIにわたる実地のエクスプロイトにより、実際の攻撃経路がどのように連鎖するかを実証します。
脅威モデリング
デバイスのアーキテクチャ、データフロー、信頼境界を構造的に分析し、どこが最も攻撃されやすいかを特定して、それに応じてテストの優先順位を付けます。
ファームウェア解析
ファームウェアの抽出とリバースエンジニアリングにより、ハードコードされた認証情報、安全でない更新の仕組み、露出したサービス、既知の脆弱なコンポーネントを明らかにします。
提供される成果物
よくある質問
はい。ハードウェアインターフェースのテスト、ファームウェアの抽出、参照用の保管ができるよう、理想的には2、3台のユニットと、コンパニオンアプリおよびクラウドの詳細が必要です。
はい。当社の結果と証明書は、EU Cyber Resilience ActとUK Product Security and Telecommunications Infrastructure制度の両方を支える技術標準であるETSI EN 303 645に直接マッピングされます。レポートは、コンプライアンスまたは適合性評価のプロセスにおける裏付け証拠として利用でき、セキュリティに関する主張のための、文書化された独立した根拠を提供します。
まず、デバイスの攻撃対象領域全体(ハードウェアインターフェース、ファームウェア、無線プロトコル、コンパニオンアプリ、クラウドAPI)をマッピングし、最も標的になりやすい信頼境界を特定する、スコープ策定と脅威モデリングのセッションから始めます。そこから、どのインターフェース、無線、標準をスコープに含めるかを合意し、製品にとって実際のリスクをもたらす経路にテストを集中させます。テスト開始前に、スコープと攻撃対象領域を書面で受け取ります。