IoT機器専用の簡易脆弱性診断サービスを提供開始
~2025年開始、IPAのセキュリティ新制度「JC-STAR」にも対応~
2024年10月22日
株式会社シーイーシー
株式会社シーイーシー(本社:東京都渋谷区、代表取締役社長:姫野 貴、以下 シーイーシー)は、トータルセキュリティソリューションブランド「Cyber NEXT(サイバーネクスト)」にて、『脆弱性診断サービス』※1を提供しています。
今回、本サービスのメニューを拡充し、IoT機器専用の脆弱性診断サービス『IoT機器診断』を、2024年10月22日(火)より提供開始します。IoT機器のセキュリティ評価制度の技術要件部分に絞った診断で、低コスト化を実現しました。経済産業省の「IoT機器のセキュリティ適合性評価制度構築方針」※2に基づくIPAの制度「JC-STAR」※3にも対応し、認証取得の際にご活用いただけます。
今後、IoT機器のメーカーおよびユーザー企業を中心に『IoT機器診断』を拡販し、2027年末までに100件の導入を目指します。
製品サイト:https://security.cec-ltd.co.jp/vulnerability_diagnosis/iot_device.html
※1:特定非営利活動法人 日本セキュリティ監査協会(JASA)「情報セキュリティサービス基準適合サービスリスト」への登録サービス(サービス登録番号:018-0012-20)。
※2:経済産業省が2024年8月に公表した「IoT 製品に対するセキュリティ適合性評価制度構築方針」。
※3:IPA(独立行政法人情報処理推進機構)が2025年3月に開始する「セキュリティ要件適合評価及びラベリング制度」。
開発背景
昨今、IoT機器の増加や機能向上に伴い、IoT機器の脆弱性を狙ったサイバー攻撃の件数・規模が増加傾向にあります。国立研究開発法人情報通信研究機構が2023年に観測したサイバー攻撃関連通信のうち、IoT機器を狙う通信の割合が最も大きく上位10項目中6項目(全体の36.6%)を占めている※4ことからも、サイバー攻撃リスクの高さが推測できます。そのため、IoT機器の「脆弱性診断」に注目が集まっています。しかし、IoT機器の脆弱性診断項目は各評価制度で異なり、全項目で診断を受けると、コストが高く脆弱性診断を実施するハードルになっているようです。
そのようなお客様の声に応え、診断項目をIoT機器のセキュリティ評価制度の技術要件部分に絞ることで『IoT機器診断』の低コストメニュー化を実現しました。低コストメニューでありながらも、『脆弱性診断サービス』などでのセキュリティに関する知見を活かし、自動診断と手動診断を項目内容に合わせて使い分けるほか、レポート報告時に脆弱性の深刻度に合わせた対策方法を提供します。
※4:出典)国立研究開発法人情報通信研究機構(NICT)「NICTER観測レポート2023」。
主な特長
- 自動診断と、セキュリティのプロによる手動診断を両方実施!
短期間で多くの検出が可能な自動診断に加え、セキュリティのプロによるポイントを押さえた手動診断を実施します。診断項目の特徴に合わせて診断方法を使い分けることで、網羅的な診断が可能です。
- 重要度の高い脆弱性発見の場合は無料で再診断!脆弱性対応の確認にも利用可能
重要度の高い脆弱性が発見された場合、お客様による是正処置後に再診断が可能です(3カ月以内、1回のみ)。再診断後もレポート報告を実施するため、是正処置の効果確認にもご活用いただけます。
- 2つのセキュリティ評価制度に対応!認証取得にも活用可能
IPAの「JC-STAR」とCCDS※5の「サーティフィケーションプログラム」という2つの制度に共通する、最低限のIoT機器セキュリティ要件に対応しています。複数の制度を基準としていることで、セキュリティ対策が一定の基準を満たしているか確認できるほか、認証取得の申請にもご活用いただけます。
※5:一般社団法人重要生活機器連携セキュリティ協議会
<標準診断カテゴリー>
- セキュリティ推奨基準に基づく設計書・機能動作のチェック
- ファームウェア解析
- ネットワークスキャン
- プラットフォーム脆弱性の検査
<価格>
110万円(税込)※~
※:IPアドレスを持つIoT機器1台あたり。
※:標準診断カテゴリー以外の診断は、個別見積(ソースコード解析、バイナリー解析、ハードウェア解析、ファジングなど)。
「Cyber NEXT(サイバーネクスト)」について
「Cyber NEXT」は、シーイーシーのトータルセキュリティソリューションブランドです。エンドポイントからクラウドまで、お客様のビジネスを支えるICT要素をセキュリティの脅威から防御し、セキュリティ専門集団として培ってきたノウハウを活用し、お客様要件に沿ったコンサルティング・設計から構築、運用サービスを提供しています。
「Cyber NEXT」サイト:https://security.cec-ltd.co.jp/
本リリースに関するお問い合わせ先
報道関係お問い合わせ先
株式会社シーイーシー
【担当:事業推進本部 経営企画部 広報グループ】
〒150-0022 東京都渋谷区恵比寿南1-5-5 JR恵比寿ビル8F
E-mail:kouhou@cec-ltd.co.jp
※記載の会社名・商品名などの固有名詞は各社の商標または登録商標です。