NECソリューションイノベータ、「NEC IoTセキュリティ診断サービス」を提供開始
- 2020/03/26 10:00
- SecurityInsight
NECソリューションイノベータは3月24日、セキュリティの観点からIoT機器の技術基準適合認定を支援するサービス「NEC IoTセキュリティ診断サービス」を提供開始することを発表した。
このサービスは、4月に新設される電気通信事業法に基づく技術基準により定められた、アクセス制御機能など、セキュリティ対策の基本機能の実装有無についての検証を支援することで、IoT機器の技術基準適合認定の取得をサポートする。
■「NEC IoTセキュリティ診断サービス」の特徴
1.新セキュリティ基準に基づくリスク分析[Standard]
法令の一部改正により対象となるIoT機器に対して定められた、新セキュリティ基準をベースとした検証項目(1)についてアセスメントを支援。また、総務省が認定する電気通信事業法に基づく技術基準適合認定の登録認定機関と連携し、技術基準適合認定の取得をサポートする。さらに独自の検証項目(2)で評価を実施し、検証結果レポートを発行する。
<検証項目(1):端末整備等規則の改正4項目に対応>
・アクセス制御機能
(例)Web管理画面に対するID・パスワード認証機能
・初期パスワードの強制変更機能
・ファームウェアの更新機能
・再起動後のセキュリティ設定維持
<検証項目(2):当社独自の検証項目(例)>
・サービスのバナー情報から不要な情報が漏えいしていないこと
・バナー情報に記載されているバージョン情報が最新であること
・認証情報未入力では設定変更画面に直接アクセスできないこと
・認証情報の設定変更をログで監査可能であること
2.IoT機器固有のリスク分析[Advanced]
Standardの基本的な検証に加え、脆弱性診断やペネトレーションテスト、ファームウェア解析や個別のガイドラインに基づくアセスメントなどの高度な検証サービスにより、IoT機器固有のリスク分析を実施し、推奨対策を提示する。
<検証項目(例)>
・IoTハニーポットテスト
・デバイスからファームウェアの抽出容易性を検証
・暗号化実施有無の確認