IoT機器のセキュリティ強度を自動で診断、マクニカネットワークスがサービス開始へ

　マクニカネットワークスが開始するのは、IoT（Internet of Things：モノのインターネット）のセキュリティ強度を自動で診断するサービス。IoT機器のファームウェアの解析と各種のセキュリティガイドラインへの適応度を診断する。

　ファームウェアの解析は、IoT機器に搭載するファームウェアをクラウドにアップロードすれば自動で実行される。製品ごとの解析に加え、製品の開発工程ごとに解析検査ができる。結果は解析レポートとして、検出したハードウェアコンポーネントや、IoTセキュリティ標準の適応状況、既知の脆弱性などを提供する（図1）。

図1：ファームウェアの解析結果の例

　各種ガイドラインへの対応では、公開されている脆弱性情報や各種セキュリティ基準とのギャップを分析し、検出した適応要件ごとに重要度に応じたリスクレベルを表示する。特に対策が必要な点については個別の対策方法をガイドする（図2）。

図2：IoTセキュリティガイドラインへの適応状況一覧とガイダンス

　新サービスは、イスラエルVDOOが開発する「VDOO Vision」を国内展開するもの。VDOO Visionにより、ファームウェアを解析し、IoT機器のセキュリティ問題を可視化することで、IoT機器の設計時に必要なセキュリティ要件を早期に見極められるため、機器の開発者や品質保証者、セキュリティサービス提供事業者などがセキュリティ対策時にかかる負荷を軽減できるとしている。

　VDOO Visionでは、未知の脆弱性（ゼロデイ攻撃）にも対応できるという。解析後に重要な問題や攻撃が発見されれば、それをメールで通知するサービス「Whistler」をオプションで用意する。対策も防御も難しい場合は、診断結果をベースに機器を保護するエージェント（常駐プログラム）もオプションで提供する。保護する機能を選択すると、機器のCPUやメモリー、ストレージに負担を掛けない軽量のカスタムエージェント「VDOO ERA（Embedded Runtime Agent）」が生成される。

　分析／診断結果への対策が完了し再診断によりセキュリティ上の問題がクリアされれば、VDOOによる認証「VDOO CertIoT」をオプションで発行する。物理的な証明書のほか、デジタル証明書も利用できる。VDOO ERAや同CertIoTは、VDOO Vision開始後、順次提供する予定である。