PR

 NECソリューションイノベータ(東京・江東区)は、セキュリティーの観点からIoT(Internet of Things)機器の技術基準適合認定を支援するサービス「NEC IoTセキュリティ診断サービス」の提供を開始した(図、ニュースリリース)。2020年4月に施行される、電気通信事業法に基づく改正技術基準(以下、新セキュリティー基準)への対応に加えて、脆弱性診断や組み込みセキュリティーの知見を生かした診断、IoT機器固有のリスク分析をメニューに用意する。

図:「NEC IoTセキュリティ診断サービス」のイメージ(出所:NECソリューションイノベータ)
図:「NEC IoTセキュリティ診断サービス」のイメージ(出所:NECソリューションイノベータ)
[画像のクリックで拡大表示]

 新サービスには、新セキュリティー基準に沿ってIoT機器のリスクを分析する「Standard(ベースライン評価)」と、Standardの基本的な検証支援に加えてIoT機器固有のリスクを分析する「Advanced(リスクベース評価)」の2種類がある。それぞれユーザーとして、新セキュリティー基準に対応し、IoT機器の技術基準適合認証を取得したいメーカー、新セキュリティー基準より高度なセキュリティー対策を含めて包括的な対策を実施したいメーカーを想定している。

 前者の「Standard(ベースライン評価)」では、新セキュリティー基準をベースとする検証項目についてアセスメントを支援。具体的には、端末整備等規則の改正4項目である[1]アクセス制御機能(Web管理画面へのID・パスワード認証機能など)、[2]初期パスワードの強制変更機能、[3]ファームウエアの更新機能、[4]再起動後のセキュリティー設定維持に対応する。

 同社独自の項目として、サービスのバナー情報から不要な情報が漏えいしていないことや、バナー情報に記載されているバージョン情報が最新であること、認証情報が未入力の状態では設定変更画面に直接アクセスできないこと、認証情報の設定変更をログで監査できることなどを検証する。価格は30万円(税別)から。

 後者の「Advanced(リスクベース評価)」では、脆弱性診断やペネトレーションテスト、ファームウエア解析・個別のガイドラインに基づくアセスメントなどの高度な検証サービスを提供し、推奨対策や対策ロードマップを提示する。検証内容には、ハニーポットテストの実施や、デバイスからのファームウエア抽出容易性の検証、暗号化実施の有無の確認といった項目がある。ペネトレーションテストは、ネットワークに接続されているシステムに既知の技術を用いて実際に侵入を試みることで、脆弱性の有無をテストする手法。ハニーポットテストは、IoTデバイスを実際にインターネットに接続して攻撃を受けた際の挙動を観察する手法だ。価格は100万円(同)から。

 5Gのサービスが本格的に開始され、IoT機器の利用拡大が見込まれる中、従来はネットワークに接続されていなかった家電や自動車、工作機械など、現在はネットワークに接続して用いられるIoT機器を狙った攻撃の増加が想定される。さらに、被害を受けたIoT機器が大規模なインターネット障害を引き起こす恐れもあるという。

 そうした懸念を受けて2020年4月1日、電気通信事業法に基づく端末設備等規則及び電気通信主任技術者規則の一部を改正する省令(平成31年総務省令第12号)が施行される。この改正によってIoT機器には、出荷時点でセキュリティー対策の基本機能の実装が義務付けられる。加えて企業には、改ざんや乗っ取り被害の危険性がある脆弱なIoT機器を市場へ供給しないための対策がより一層求められる。新サービスはこうした動きに対応するものだ。同社は、今後3年間で5000万円の販売を目指す。