IoT製品のセキュリティ診断ツール、CECが発売

　シーイーシー（CEC）が発売した「HERCULES SecDevice」（台湾Onward Security製）は、IoT（Internet of Things：モノのインターネット）製品のセキュリティを自動で診断するためのツール（図1）。自動車や家電、産業機器などが搭載する通信・制御装置や組み込み機器の組み込みソフトウェアや車載OS、ネットワークサービスの脆弱（ぜいじゃく）性をテストする。

図1：「HERCULES SecDevice」を使った脆弱性テストを早期に実施すれば後工程での手戻りを防げる

　HERCULES SecDeviceは、開発工程における単体テストや結合テストなどで利用する。ソフトウェア開発のライフサイクルにセキュリティテストを組み込む「セキュアソフトウェア開発ライフサイクル（SSDLC）」の構築・運用にも対応する。より早期にテストすることで後工程での手戻りを防ぎ、開発工程全体の効率化とセキュリティ品質の確保／向上を支援する。

　製品の開発メーカーでは、品質保証（QA：Quality Assurance）担当者の検証作業や、プロジェクトマネージャー（PM）による納入品のセキュリティ要件検証、開発エンジニアによるサプライヤーが納入したコンポーネントの脆弱性検査などに利用できる。

　製品の利用企業であれば、購入した製品が自社で定めるセキュリティ基準に適合しているかを調達時に検査するセキュリティアセスメントに利用できる。購買部門が一括検査すれば、全社統一の調達基準で評価できる。

　テスト対象は、自動環境検出やドッキングなどにより自動で検出・識別できる。診断結果では、見つかった問題の種類や箇所に加え、開発者が取るべき対策も示す。外部参考リンクや、問題を再現させるためのパケット概要なども記載する。

　SecDeviceが実施できるテストは6カテゴリー170項目（図2）。カテゴリーは、（1）既知の脆弱性、（2）未知の脆弱性、（3）バックドアスキャン、（4）Wi-Fi（無線通信）、（5）Webアプリケーション、（6）DoS（Denial of Service：サービス拒否）攻撃である。

図2：6カテゴリー・170項目のテストに対応する

　既知の脆弱性のテストは、脆弱性情報データベース（CVE：Common Vulnerabilities and Exposures）を基に実施する。未知の脆弱性のテストでは、想定外の入力に対する堅牢性を試す「ファジング」の手法を用いる。問題が起きそうな細工を施したテストデータ（ファズ）を繰り返し大量に送り付け、その挙動を検出することで、設計者や開発者が見つけにくい不具合を発見する。

　テストでは、IoT製品に使われる主要な通信プロトコルに対応する。ハッカーが狙う脆弱性要因のベスト10に入る「OWASP TOP 10」や、組み込み機器のセキュリティ保証に関する「EDSA認証（制御機器認証）」に基づくファジング対象プロトコルなどだ。産業用自動制御システム（IACS：Industrial Automation Control System）のコンポーネントに関する国際標準「IEC62443-4-2」にも対応する。

　CECによれば、未知の脆弱性診断では、テスト範囲の検討やテストデータの作成が難しく、テスト実施に時間や手間がかかるといった課題があった。セキュリティベンダーなど専門家の力を要することが多く、出荷前テストなど下流工程で対処する傾向があり、脆弱性発覚時の影響や対応コストを押し上げている。