ページの本文へ

Hitachi

セキュリティコンサルティング セキュリティコンサルティング

セキュリティ設計支援コンサルティング

概要

■IoT機器、IoTシステムに求められるセキュリティ
IoT化により利便性が向上する反面、ネットワークと接続することで、外部から攻撃を受けるリスクが高まり、Ripple20に代表されるIoT機器の脆弱性も注目されています。
また開発においては、下記のように遵守すべきガイドラインが定められている業界もあり、こうしたガイドラインの策定は今後他の製造業にも広がっていくと予想されます。

  • ・制御システムIEC 62443(欧州で調達要件に)、NIST SP800-82(米国政府)
       IEC 62443(欧州で調達要件に)、NIST SP800-82(米国政府)
  • ・自動車UN-R155/156(WP29)、ISO 21424/24089(基準を満たさない場合は販売不可)
       UN-R155/156(WP29)、ISO 21424/24089(基準を満たさない場合は販売不可)
  • ・通信モジュール2020年の技適改正により最低限のセキュリティが義務化
       2020年の技適改正により最低限のセキュリティが義務化

このように、今後、安全性の基準を満たした設計に加えて、各業界のセキュリティガイドラインを満たした設計がより求められると考えられます。

IoT機器、IoTシステムの開発プロセスに求められるセキュリティ対策

■IoT機器、IoTシステムのセキュリティ対策の課題
IoT機器のセキュリティ対策について、以下のような課題でお悩みではないでしょうか。

  • ・ネットワークと接続しない前提で設計を行ってきたため、セキュリティ対策についてのノウハウが設計部門にない。
  • ・セキュリティ管理が不十分で、脆弱性を抱えたまま設計されている可能性が高い。
  • ・最近、セキュリティ意識の高い顧客や、海外の顧客からガイドライン基準への対応を求められるようになった。
  • ・顧客の漠然としたセキュリティ面の懸念に対し、回答しなければならない。
  • ・製品リソースや価格とセキュリティのバランスをどう決めればいいか分からない。
  • ・ガイドラインで求められるセキュリティにどこまで対応するか、その根拠について社内外のステークホルダーへの客観的な説明が必要。

■日立ソリューションズのセキュリティ設計支援コンサルティング
日立グループの一員である日立ソリューションズは、製造業や重要インフラで培ったセキュリティ対策の豊富なノウハウを生かし、システム全体のセキュリティを考え、開発段階からIoT機器、IoTシステムのセキュリティ対策を支援します。IoT機器、IoTシステムについてセキュリティの課題を洗い出し、どこまでセキュリティを確保すればいいかをコンサルティングします。

特長

  • お客様の検討フェーズに応じたコンサルティングを実施し、具体的な対策をご提案します。日立ソリューションズのコンサルタントがセキュリティ製品開発者の目線でリスクを分析可能です。
    お客様の検討フェーズに応じたコンサルティングを実施するステップ
  • 自動車産業におけるセキュリティコンサルティングや、IEC 62443など国際規格を考慮したセキュリティ対策の支援などの実績が多数あります。そのため、セキュリティ規約への適合や、海外顧客向けの製品についてのコンサルティングも対応可能です。
  • 限られたIoT機器のリソースでどこまでのセキュリティ対策を実施するかの検討をサポートしたり、既存・開発中のIoT機器、IoTシステムで不足している対策についてピンポイントでご提案するなど、現場の状況に合わせて柔軟に対応いたします。

サービス内容

現状分析

下記のポイントでお客様の現状を分析し、レポートを作成します。

  • ・開発プロセスがセキュリティを考慮したものになっているか。
  • ・システム構成、データフロー設計にセキュリティ上の問題がないか。
  • ・出荷した製品のファームウェアにセキュリティ上問題のあるOS設定がないか。
  • ・出荷した製品の利用OSS(Open Source Software)に緊急度の高い脆弱性が残っていないか。
何から手を付けたらいいかわからないところから、コンサルタントが現状を分析しレポートを作成

設計支援

お客様の課題に合わせて、さまざまな支援を提供します。

  • ・プロセスの改善:開発ガイドライン、開発者への教育。
  • ・設計上の懸念:鍵管理、証明書管理機能などの追加。
  • ・ファームウェア設定:最低限必要な項目の洗い出し。(請負開発も可能)

脆弱性対策

ツールによる脆弱性診断の実施に加え、診断結果にもとづく影響判定の支援や、脆弱性情報の報告サービスを行います。
組み込み機器のファームウェアに利用しているOSSで一般的な脆弱性が発見されたとしても、実際に製品に影響があるかは発生条件や使い方によって変わってきます。また、組み込み機器のファームウェアのアップデートには手間と工数が掛かるため、脆弱性の影響を判断することが重要になります。ツールによる脆弱性診断だけでなく、こうした分析もサービスとして提供することで、お客様の判断を支援します。

脆弱性情報の報告サービスイメージ

ワークショップ

IoT機器製品製造メーカーに求められるセキュリティ対策の基礎知識、業界動向をご説明します。

  • 主なワークショップの内容
  • ・標準規格の解説。
  • ・設計視点での対策検討。
  • ・製造販売するうえで最低限知っておくべきセキュリティリスクや対策。

ご希望に合わせて内容や時間を調整いたします。セキュリティ対策検討の端緒としてご活用ください。

作業期間

作業期間は一例です。お客様とご相談のうえ、決定させていただきます。
・現状分析:1カ月
・設計支援 :3カ月
・脆弱性対策 :2カ月
・ワークショップ:半日

価格

個別見積り

ページTOPへ
メニュー
ページの先頭へ