IoTセキュリティ
17.Mar.2020
Onward Securityは技術と経験を以ってメーカーのIoT市場進出を手助けします
セミコンダクターの製造プロセスの進歩及びクラウドサービスの普及と健全化により、世界中のIoTデバイスの数は増える一方です;ですが製品のセキュリティ機能の不足が原因で、重大な損害をもたらした情報セキュリティ事件も多発していました。例えば2016年に発見されたマルウェア「Mirai」は、各種IoT製品が消費者に対して初ログイン後デバイスのパスワード変更を要求していないことを利用して、世界中で数十万個のネットワークカメラの制御権限を簡単に取得しました。その後ハッカーはこれらのネットワークカメラをコントロールし特定のターゲットに大規模なDDoS攻撃を仕掛けることができ、ウェブサイトのサービスを休止に追い込みました。
政府もIoTデバイスの情報セキュリティ問題に気づきました。政府機関と消費者がより安全なIoTデバイスを購入できるため、近年経済部工業局は健全な認証・検証制度を制定し、IoT情報セキュリティ管理標準を推進しています。Onward Securityはその標準を満たす情報セキュリティ検証ラボを持つ業者の一つなんです。IoT情報セキュリティ管理標準の内容に「映像モニタリングシステム情報セキュリティ管理標準-ネットワークカメラ」の規定は2019年11月に公告され、国家標準(CNS 16120)の一つになりました。関連する政府機関は将来国内でこの標準をネットワークカメラの購入に適用するつもりです。これにより国内でネットワークカメラ使用環境のセキュリティを確保し、市民はより一層保障されます。
Onward Securityの技術サービス課長兼技術長、劉作仁さんによると、だけではなく、2018年にアメリカのカリフォルニア州も「SB-327情報プライバシー:インターネット接続機器に関する法案」を法案を可決しました。即ち2020年1月1日より、メーカーは「直接や間接に」インターネットに接続する機器に対して「合理的な」保護機能を付ける義務があります。これは許可されないアクセス及びデータ改ざんを防ぐためです。それを踏まえて、Onward Securityは公正公平な第三者として情報セキュリティ検証ラボで製品の検証サービスを提供しております。当社はメーカーが情報セキュリティ関連法規に対するコンプライアンス、情報セキュリティ認証の取得及び製品の情報セキュリティ機能の向上をサポートします。Onward Securityの情報セキュリティ検証ラボは経済部工業局が制定した情報セキュリティ標準を多数満たしているほか、Amazon Alexa Voice Serviceが指定した情報セキュリティ検証ラボでもあります。当社はのIoTデバイスメーカーに対し最も完全なサポートを提供することができて、メーカーのIoT市場進出を手助けします。
政府もIoTデバイスの情報セキュリティ問題に気づきました。政府機関と消費者がより安全なIoTデバイスを購入できるため、近年経済部工業局は健全な認証・検証制度を制定し、IoT情報セキュリティ管理標準を推進しています。Onward Securityはその標準を満たす情報セキュリティ検証ラボを持つ業者の一つなんです。IoT情報セキュリティ管理標準の内容に「映像モニタリングシステム情報セキュリティ管理標準-ネットワークカメラ」の規定は2019年11月に公告され、国家標準(CNS 16120)の一つになりました。関連する政府機関は将来国内でこの標準をネットワークカメラの購入に適用するつもりです。これにより国内でネットワークカメラ使用環境のセキュリティを確保し、市民はより一層保障されます。
Onward Securityの技術サービス課長兼技術長、劉作仁さんによると、だけではなく、2018年にアメリカのカリフォルニア州も「SB-327情報プライバシー:インターネット接続機器に関する法案」を法案を可決しました。即ち2020年1月1日より、メーカーは「直接や間接に」インターネットに接続する機器に対して「合理的な」保護機能を付ける義務があります。これは許可されないアクセス及びデータ改ざんを防ぐためです。それを踏まえて、Onward Securityは公正公平な第三者として情報セキュリティ検証ラボで製品の検証サービスを提供しております。当社はメーカーが情報セキュリティ関連法規に対するコンプライアンス、情報セキュリティ認証の取得及び製品の情報セキュリティ機能の向上をサポートします。Onward Securityの情報セキュリティ検証ラボは経済部工業局が制定した情報セキュリティ標準を多数満たしているほか、Amazon Alexa Voice Serviceが指定した情報セキュリティ検証ラボでもあります。当社はのIoTデバイスメーカーに対し最も完全なサポートを提供することができて、メーカーのIoT市場進出を手助けします。
HERCULES SecDeviceの高度な自動化による検証コストの低減
インターネット接続機器に対する侵入方法が日々開発・更新されています。それに応じ、検証の技術的なハードル及び人件費も増え続けています。どうやって会社の内部で完全な情報セキュリティ検証を行うのが、世界中のIoTデバイスメーカーとIIoTデバイスメーカーの注目ポイントです。そのため、Onward Securityは何年前から既に情報セキュリティ検証ツールの開発に注力し、自動化ツールでメーカーの製品の情報セキュリティ問題を解決することを期待しています。当社が開発したHERCULES SecDeviceは2019年にInfo Security Products Guide主催のGlobal Excellence Awardsで「Internet of Things (IoT) Security」の金賞及び「Industrial Control Systems (ICS) and SCADA」の銅賞を獲得しました。
劉作仁さんによると、従来の方法でOnward Securityが製品の検証を行う場合、大体2~4週の時間をかかります。複数の顧客が同じ時間帯にテストを依頼しに来た場合、さらに長い時間を要することになります。この折、製品の市場投入時点に影響を与える恐れがあります。しかし、予めHERCULES SecDeviceを使ってスキャンを行うなら、所要時間の短縮ができます。
HERCULES SecDeviceはインターネット接続機器に対して環境設定の検証とセキュリティ評価などの自動化・スマート化の機能を提供します。その検証対象はインターネット環境、ウェブサイト及びワイヤレス環境関連のセキュリティを含み、検証の範囲には既知と未知の脆弱性も含みます。簡単に使える操作性はテスト人員の慣れる時間を短縮し、ISO/IECの情報セキュリティ標準も満たしています。複数の革新的な特許技術を採用した上、Onward Securityのセキュリティ脆弱性研究チームのサポートもあって、最先端のセキュリティテスト項目や更新サービスを提供します。インターネット接続機器に対する現時点最先端の情報セキュリティ脆弱性検証能力は約束されています。
劉作仁さんによると、従来の方法でOnward Securityが製品の検証を行う場合、大体2~4週の時間をかかります。複数の顧客が同じ時間帯にテストを依頼しに来た場合、さらに長い時間を要することになります。この折、製品の市場投入時点に影響を与える恐れがあります。しかし、予めHERCULES SecDeviceを使ってスキャンを行うなら、所要時間の短縮ができます。
HERCULES SecDeviceはインターネット接続機器に対して環境設定の検証とセキュリティ評価などの自動化・スマート化の機能を提供します。その検証対象はインターネット環境、ウェブサイト及びワイヤレス環境関連のセキュリティを含み、検証の範囲には既知と未知の脆弱性も含みます。簡単に使える操作性はテスト人員の慣れる時間を短縮し、ISO/IECの情報セキュリティ標準も満たしています。複数の革新的な特許技術を採用した上、Onward Securityのセキュリティ脆弱性研究チームのサポートもあって、最先端のセキュリティテスト項目や更新サービスを提供します。インターネット接続機器に対する現時点最先端の情報セキュリティ脆弱性検証能力は約束されています。
開発の標準プロセスの確立に向けて最良の選択、HERCULES SecFlow
HERCULES SecDevice以外、Onward Securityも同時にHERCULES SecFlow製品セキュリティ管理システムを市場に投入しました。当製品は主に需要、デザイン、開発、テスト及び配置を含む各段階に向けて、システム化した製品の安全な開発管理のソリューションとして提供されております。簡単に言うと、当製品には安全な開発プロセス管理、セキュリティ脆弱性データベース及びアクティブ製品セキュリティ事件モニタリングの機能が搭載されており、短時間に顧客の安全なソフトウェア開発プロセスの確立をサポートできます。
劉作仁さんによると、IoT関連製品のセキュリティ向上はプロセス最後の製品テスト段階だけを頼ってはいけません。その段階で発見される脆弱性を解消するにはより多くの時間を費やす可能性があります。私たちがHERCULES SecFlowを開発する目的は、製品開発初期の需要分析やデザインの段階で顧客の国際標準を満たす安全なソフトウェア開発プロセスの確立をサポートすることです。同時に私たちが提供する100,000件以上の脆弱性を記録したデータベースを運用すれば、開発の段階で不安全なサードパーティパッケージの使用や開発者のミスによるセキュリティ上の脆弱性を作り出すことを免れます。これにより当然、情報セキュリティ関連法規を違反することなく、海外市場に進出することができます。
劉作仁さんによると、IoT関連製品のセキュリティ向上はプロセス最後の製品テスト段階だけを頼ってはいけません。その段階で発見される脆弱性を解消するにはより多くの時間を費やす可能性があります。私たちがHERCULES SecFlowを開発する目的は、製品開発初期の需要分析やデザインの段階で顧客の国際標準を満たす安全なソフトウェア開発プロセスの確立をサポートすることです。同時に私たちが提供する100,000件以上の脆弱性を記録したデータベースを運用すれば、開発の段階で不安全なサードパーティパッケージの使用や開発者のミスによるセキュリティ上の脆弱性を作り出すことを免れます。これにより当然、情報セキュリティ関連法規を違反することなく、海外市場に進出することができます。
Daniel Liu, CTO, Onward Security
