- ツール
- IoTセキュリティ評価ツール HERCULES SecDevice
IoT機器の未知の脆弱性をファジングで自動検出
標準的プロトコルを網羅、既知の脆弱性もスキャンし
製品開発時のセキュリティ品質を迅速にチェック
IoT機器・システムの
セキュリティリスクを
把握していますか?
年々増加するIoT機器へのサイバー攻撃
自社製品起因のインシデントは
企業の信用問題に
SecDeviceとは
IoT機器・システムに対し、ファジングや脆弱性スキャンを自動実行
豊富なプロトコル対応とスマート検証手法で未知の脆弱性をチェック
開発製品のセキュリティ品質をすばやく高精度に確認
IoT機器のセキュリティ対策にはファジングが効果的です。
IoTセキュリティ評価ツールのSecDeviceは、自動環境検出、ドッキング、およびテスト機能を搭載。既知の脆弱性テストはもちろん、ファジングテスト、Web セキュリティテストなどの機能を備え、既知・未知の脆弱性を自動的にすばやく検出可能です。
用語解説
- ファジング
- 繰り返し、大量にテストデータ(ファズ)を送りつけることにより、設計者や開発者が見つけにくい不具合を発見するテスト手法
対応プロトコル
- エンベデッドデバイス・IoTデバイス・インダストリアルデバイス
IEC62443、OWASP TOP 10、CWE/SANS TOP 25などに対応。
導入効果
豊富なプロトコルに対応
特許技術搭載のファジングで
未知の脆弱性をすばやく検知
特許技術を取得しているスマート検証手法を搭載。面倒で工数がかかるファジングテストを短時間かつ高精度に実施することができます。MQTTやCoAPなど標準的なプロトコルに幅広く対応*しているほか、独自プロトコルにも対応可能です。
*2021年10月現在 60プロトコルに対応
IEC62443に対応、
SSDLCへの取り組みにも
適用可能
産業用自動制御システム(IACS:Industrial Automation Control System)のコンポーネントに関する技術的セキュリティ要件を示した国際標準規格、IEC62443-4-2に対応しています。
また、ソフトウェア開発ライフサイクルにセキュリティテストを組み込む「セキュアソフトウェア開発ライフサイクル(SSDLC)」を構築・運用する際にも適用可能。セキュリティテストの手間を削減し、SSDLCの運用負荷を軽減します。
製品の脆弱性チェックを
開発段階の早期へシフトレフト
後工程での手戻りを防止
SecDeviceを活用すれば、ファジングテストを開発段階の単体テスト・結合テストなど、より早期に実施可能です。手戻りが減り、製品開発工程全体の効率化にも役立ちます。
運用中製品を手軽に
アセスメント
セキュリティを担保
日々新たな脆弱性が発見されています。運用中製品にも出荷時にはなかった脆弱性が見つかる可能性があります。SecDeviceを活用すれば、製品セキュリティを継続的に担保することが可能です。
機 能
FUNCTION 1
豊富なテストケース
および検査手法
■脆弱性スキャン:豊富なCVEデータベースを有し、かつ問題点の説明や解決策の提示
- ・ソフトウェア・ハードウェアにおいて発見された脆弱性は必ず修正する
- ・サプライヤーにセキュリティ指標を提示し、セキュリティ品質の向上を促す
(例:脆弱性スキャンにて既知の脆弱性やエクスプロイトの発見など)
■Webテスト:自動クロール機能、OWASP Top10項目検査
- ・より詳細なインプット検証(アップロードファイル)およびアウトプットのサニタイズを実施しクロスサイトスクリプティング、さまざまなインジェクション攻撃、SQL、OSコマンド、パストラバーサルなどの攻撃に対し対策をとる
■ファズテスト:60以上のプロトコルに対するファジングテストに対応
- ・システムが想定外のインプットからロバスト(堅牢)である
- ・サプライヤーにてセキュリティ指標の一項目で、ファジングおよびフルーディングを行うことによりセキュリティ品質の向上を促す
■DoSテスト:UDP Floodingなどの一般的な手法を再現
- ・あらかじめDoS攻撃への対策を施す
- ・システムはさまざまなリクエストにも対応できるよう柔軟に設計されている
FUNCTION 2
セキュリティテストの
レポート機能が充実
製品開発の品質改善を支援
SecDeviceは管理者向け、開発者向け、2パターンのレポートを出力できます。管理者向けではどこにどのような問題が見つかったのか概要ベースで記載。
開発者向けでは、上記に加えて、そのリスクに対しどのような対策ができるのかまでを記載しています。外部参考リンクの引用や再現させるためのパケット概要など技術的な観点からの記載も充実。セキュリティ品質の改善ポイントをすばやく確認することができます。
FUNCTION 3
Wi-Fiのファジングテスト
にも対応
WEP、WPA、WPA2の各種技術規格に準拠しています。サーバー側、クライアント側の双方とも検査が可能です。
活用例
CONFIGURATION 1
製品開発の場合
SecDviceは1つのライセンスをユーザーの縛りなく使用できます。QAの方が検証作業を行う際に使用することはもちろん、外部委託先から納入された完成物のセキュリティ要件をPMの方が検証する場合や、ソフトウェアのサプライヤーから導入したコンポーネントに脆弱性が紛れ込んでいないか開発エンジニアが確認する場合にも活用できます。
企業内LANやQA向けLANなどのサーバーやPCにVMにてSecDeviceを配置
CONFIGURATION 2
導入後のアセスメント
外部から購入した製品が自社で定めるセキュリティ基準に適合しているか、調達時に検査することにも活用できます。
例えば購買部門が一括で検査することで、全社統一の調達基準で評価することが可能となります。
システム構成/推奨環境
SecDevice VM版必要スペック | |
---|---|
CPU | x86 4コア 以上 |
メモリー | 8GB 以上 |
HDD容量 | 500GB 以上 |
ネットワーク | RJ45 1GbE 4ポート ※オンボード、USB/LAN変換ドングル増設含む。※USBハブ経由のUSB/LAN変換は不可 |
Wi-Fi | 802.11 a/b/g/n ※弊社指定Wi-Fiドングル ※Wi-Fiファジングにて必要(オプション) |
OS | Microsoft Windows 8,10 |
ソフトウェア | VirtualBox 6.0 以降 |
※実際の診断時間など、パフォーマンスは環境に依存しますので保証致しかねます。
対応プロトコル
下記の対応プロトコルに加えて、既知脆弱性を自社独自の分類法で170個TestCaseにて対応します。
Categories/Parameters | Protocols |
---|---|
Core Network | TCP(IPv4、IPv6) , UDP(IPv4、IPv6) , ARP , ICMP ( IPv4、IPv6) , ETHERNET, IPv4, IPv6,OSPFv2 |
IIoT | BACnet, CoAP, DNP3, EtherNet/IP, FINS, S7comm, IEC60870-5-104, IEC61850(Goose/MMS/Sampled Value), Modbus, OPC UA, ProfitNet, CIP, MQTT |
Network Management | CWMP, DHCP(v4/v6), DNS, LDAPv3, NTP, OCSP, PPTP, SIP, SNMP (v1/v2/v3/trap), SSHv2, TFTP, Telnet, TLS1.2, UPnP, IPSec, RADIUS, IKEv2, IPMI, NFSv4, VLAN, FTP, BGP, BFD, NetBIOS |
File System | CIFS/SMB/NFS |
Healthcare | DICOM |
Web Application | HTTP, Web Fuzz(Including XML and JSON format) |
VoIP/ IMS | RTP, RTCP, RTSP |
Wireless | 802.11 WLAN Client /AP 802.11 WPA Client / AP |
※上記のように、さまざまな業界のニーズを満たすために、カテゴリーを分けて幅広い通信プロトコルをサポートします。
お電話でのお問い合わせ(受付時間:平日9:00-17:45)
Webからのお問い合わせ