IoT機器のセキュリティレベルを無償で診断、CCDSがイスラエル企業と提携:IoTセキュリティ
IoTセキュリティプラットフォームを展開するイスラエルのVDOO Connected Trustは、日本法人のビドゥジャパン株式会社の設立を発表。併せて、重要生活機器連携セキュリティ協議会(CCDS)と、日本国内の消費者向けデバイスのセキュリティを促進で提携することも明らかにした。
IoT(モノのインターネット)セキュリティプラットフォームを展開するイスラエルのVDOO Connected Trust(以下、VDOO)は2020年6月19日、オンラインで会見を開き、日本法人のビドゥジャパン株式会社(東京都港区)の設立を発表した。併せて、重要生活機器連携セキュリティ協議会(CCDS)と、日本国内の消費者向けデバイスのセキュリティを促進するために提携することも明らかにした。
VDOOは、2017年に設立されたIoTセキュリティに特化した企業だ。米国Palo Alto Networksに買収されたエンドポイントセキュリティのスタートアップ・Cyveraの設立に関わった起業家によって創業された。創業者の1人でもあるVDOO CEOのNetanel Davidi(ネタネル・ダヴィディ氏)は「世界でもトップクラスの組み込みセキュリティの研究チームを立ち上げ、NTTドコモやMS&ADホールディングス、デル テクノロジーズなどから4500万米ドル(約48億円)の出資を得ている。顧客は日本企業をはじめ500社以上に達する」と語る。
VDOOにとって日本は重要市場の1つになっている。「最先端のデバイスを製造しており、高い品質を重視している。これからは、その高い品質にセキュリティが必要不可欠だ。また、オートメーションのリーダー企業が多数本拠を置いている」(ダヴィディ氏)。
VDOOが手掛けるIoTセキュリティプラットフォームは、IoT機器のセキュリティを設計段階から確保するSaaS「Vision」と、サイバー攻撃から守るエージェントソフトウェア「ERA」から構成されている。これによって、あらゆる業界のIoT機器のセキュリティについてエンドツーエンドで対応する。なおダヴィディ氏は、重視する業界として、家電、ビルオートメーション、医療機器、通信機器、防犯システムなどを挙げた。
日本法人設立後の今後の事業展開では、販売パートナーとして、現在のマクニカネットワークス、大日本印刷、NTTアドバンステクノロジ、サイバートラストなどに加えて、2020年7〜8月に大手SIer2社が加わることになるという。
クラウドを使ってバイナリベースでセキュリティ診断
日本法人であるビドゥジャパンの日本代表には伊藤俊明氏が就任した。伊藤氏は「日本でもIoTデバイスが狙われ始めている。これに対応して、経済産業省がCPSF(Cyber Physical Security Framework)を策定し、総務省も電気通信事業法 端末設備等規則(省令)を改正した。2020年4月からIoT機器の技術基準適合認定(技適)の要件も変更されている」と指摘する。
家電をはじめとする生活機器のセキュリティガイドラインを策定してきたCCDSも、2019年10月からIoT機器のセキュリティ認証を行う「CCDSサーティフィケーションプログラム」を開始している。CCDS 代表理事で情報セキュリティ大学院大学 客員教授の荻野司氏は「このプログラムはレベル1〜3で構成されており、現在はIoT機器としての共通の要件となるレベル1の認証についてスタートしたところだ」と説明する。
VDOOはこの取り組みに賛同し、同プログラムの基準となるCCDSのガイドラインへのアセスメントを自動で診断するサービスを無償で提供する。具体的には、SaaSのVisionをCCDSのガイドラインに対応できるようにした上で、CCDSの共通要件への適応レベル、そのIoT機器の脅威レベル、検知された脆弱性の数、設計上のセキュリティ改善点の数などを診断結果として提示する。「これを無償サービスとして提供していただけることになった」(荻野氏)。2020年7月6日から、CCDSのWebサイトを経由して、現行のレベル1の認証に関わる範囲内で利用できるようになる予定だ。
なおVisionは、クラウドにバイナリベースのファームウェアをアップロードすることで約30〜60分でセキュリティ診断が可能になるサービスだ。「各社の重要機密であるソースコードではなく、バイナリを使ってセキュリティ診断できる点が優れている」(伊藤氏)としている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
あなたのラズパイは穴だらけ? ユーザーが検討すべき脅威への対策
インターネットに接続されている世界のRaspberry Piは、どれほどセキュリティリスクにさらされているのか。また、Raspberry Piをサイバー攻撃の呼び水にしないためにどのような対策を施せば良いのか、トレンドマイクロでセキュリティエバンジェリストを務める岡本勝之氏の分析概要を聞いた。
ラズパイ入手したらまずやること、デフォルトユーザーとSSHログイン認証を変更する
今回は、Raspberry Piユーザーが採るべきセキュリティ対策について、より具体的に解説していきます。まず、Raspberry PiのシャドーITを防ぐ方法を紹介したうえで、Raspberry Pi端末に対するセキュリティ対策を説明します。
「ラズパイの穴」を埋めるために、不要サービスの確認とOS自動更新を実装する
連載最終回となる今回は、見落としがちなセキュリティリスクである不要サービスの確認と、OSやソフトウェアの自動アップデートを実装していきます。
IoTデバイス開発で最低限押さえたいセキュリティのポイント
製品のIoT化が進む中、IoT製品のセキュリティ対策の必要性も増している。そういう中で米国デジサートは電子証明書がセキュリティ確保のカギを握ると訴えている。デジサートでIoTセキュリティ担当バイスプレジデントを務めるマイク・ネルソン氏に、IoTデバイスセキュリティのポイントについて話を聞いた。
開発中の家電も「マルウェアのおとり」に、パナソニックのIoTセキュリティ対策
パナソニックは2019年10月25日、東京都内で記者向けに技術セミナーを開催し、IoT(モノのインターネット)製品に対するサイバー攻撃の現状や、製品セキュリティにおける同社の取り組みを説明した。
「Mirai」に備えよ、JPCERT/CCがIoTセキュリティチェックリストを公開
JPCERT コーディネーションセンターは2019年6月27日、IoT製品の開発者や製品の導入利用者向けに、「IoTセキュリティチェックリスト」を公開した。