公開日:|最終更新日時:
サイバーセキュリティソリューションプロバイダーのチェック・ポイント・ソフトウェア・テクノロジーズの発表によると、2023年1〜2月の間でIoTデバイスを狙った週の平均サイバー攻撃数は、2022年と比べると世界では41%増加し、国内で68%も増加といったデータがあり、その数字は急激に伸びてきていることが分かります。
参照元:PR TIMES(https://prtimes.jp/main/html/rd/p/000000205.000021207.html)
IoTデバイスの情報セキュリティの脅威は国も認識しており、総務省から「サイバーセキュリティタスクフォース」を通じて「IoT機器については、その性質から、サイバー攻撃の対象になりやすく、我が国においてIoT機器を狙ったサイバー攻撃は年々増加傾向にある。また、諸外国においても、攻撃されたIoTデバイスによる深刻な被害が発生しているところであり、早急なIoTセキュリティ対策が必要となっている。」と提言しています。
【PDF】参照元:総務省「IoT セキュリティ対策に関する提言」より(https://www.soumu.go.jp/main_content/000478813.pdf)
これによりIoTデバイスを扱う企業のセキュリティ意識が高まり、各種セキュリティ対策に加えて、ペネトレーションテストを実施する企業が増えつつあります。
一般的にペネトレーションテストというと社内ネットワークなどに対して行われていますが、ベンダーの中にはIoT専用へのペネトレーションテストを実施している企業があります。
その中でも経済産業省の定める「情報セキュリティサービス基準」に適合するサービスとしてIoTデバイスへのペネトレーションテストの登録をされている企業があります。これは、情報セキュリティサービスにおいて、品質の維持・向上に努めているサービスを明らかにするための基準を指します。
ペネトレーションテストとは、企業や組織の使用するコンピューターシステムを対象に、外部からの攻撃者が用いる手段によって侵入を行い、システムにセキュリティにおける脆弱性の有無をチェックする手法を指します。IOTデバイスにペネトレーションテストを行う目的は、脆弱性対策やデバイスの認証などを通して、機器の機密性や可用性、安全性を確保することです。
IOTデバイスにペネトレーションテストを行うメリットは、実際のサイバー攻撃と同様の手法でシステムに侵入できるかをチェックできる点です。第三者視点でシステムの弱点を洗い出せるため、テスト後の対応によりシステムのセキュリティレベルを高められます。また、あらかじめ攻撃対象となるシステムの構築などを調査したうえでテストを実施するため、自社の環境に合わせられる点もポイントといえます。
ペネトレーションテストの
メリット・デメリット
について詳しく見る
企業や組織の希望や対象となるIoT機器・システムの仕様などを調査し、考えられる脅威や侵入ポイント、攻撃シナリオの提案を行います。調査の際は、テストするIoTデバイスにおいて守りたいものをヒアリングするのが重要です。具体的な保護対象には、IoTデバイスの通信データや保管データなどが挙げられます。
IoTデバイスを分解し、侵入・攻撃できるポイントを徹底的に調べます。実際には、製品内部の基板におけるハードウェア上リスク・ファームウェアの解析・通信のモニタリング・デバイスと連携できるアプリの解析などが挙げられるでしょう。これらの調査・解析を行ったうえで、ウィークポイントが攻撃される可能性を検証していきます。
侵入ポイントにおける問題点の悪用により、不正操作やファームウェア、個人情報の漏えいといったトラブルが発生する可能性を検証します。例として、フラッシュメモリにおいて情報の保管方法に脆弱性が見つかった場合、データの抽出を行い、情報を奪取できるかをチェックします。
ペネトレーションテストの結果をレポートとしてまとめます。これにより、システムにおいてどのような脆弱性があるのか、最適な対策方法などを明確化できるのがポイントです。ペネトレーションテストは継続的に行うのが重要なので、作成したレポートは対策実施後の再テストで有効性を検証する際にも役立つでしょう。
ペネトレーションテストは
どのように行われるのか
手法について詳しく見る
経済産業省の情報セキュリティサービス台帳における機器検証サービスにIoTペネトレーションテストサービスが登録されている企業を紹介します。
参照元:経済産業省「情報セキュリティサービス台帳/機器検証サービス」(https://sss-erc.org/iss_book/devvs/)
IoTデバイスに「ソフトウェア解析」や「ハードウェア解析」を通じて、セキュリティ上の問題がないかなど、多岐に渡った観点からセキュリティを評価します。
GMOサイバーセキュリティbyイエラエ
の
ペネトレーションテストについて
詳しく知りたい方はこちら
IoTデバイスと、BluetoothやWi-Fiといった近距離無線通信、クラウドとの通信などシステム全体に対して、セキュリティ上の問題がないか確認。その問題がどのように悪用できるかを実施することで、その想定される脅威が存在するか検証をしています。
ラックのペネトレーションテスト
について
詳しく知りたい方はこちら
ペネトレーションテストでは組織のセキュリティレベルを評価でき、IoTデバイスに対するサイバー攻撃を想定したテストを実施することも可能です。IoTデバイスへのサイバー攻撃は、その巧妙性がどのように変化していくのか予測はできませんが、日頃から最新のセキュリティ情報に注意を払い、新しい脅威が現れたときにも速やかに対応できるよう準備しておくとよいでしょう。
本メディアでは得意な領域ごとにおすすめのペネトレーションテストベンダーを紹介しています。ペネトレーションテストの依頼を検討されているご担当者はぜひ参考にしてください。
ここではサイバー攻撃の標的として狙われやすい「製造業」「金融機関」「IoT」の3つの中から、それぞれのおすすめの理由とともにおすすめの企業を紹介します。
