サービス概要
Ray Aegisは、IoT(Internet of Things)に特化した最先端のセキュリティ診断サービスを提供しています。私たちの専門家チームが、あなたのIoTデバイスやシステムの脆弱性を特定し、IoT環境特有のリスクに対応した包括的な解決策を提供します。
IoT 診断内容
対象機器をお預かりし、IEC 81001-5-1(JIS T 81001-5-1)や経済産業省「IoT機器を開発する中小企業向け製品セキュリティ対策ガイド」など、ご希望のガイドラインなどに沿ったセキュリティ診断・ペネトレーションテスト(侵入試験)を実施いたします。
侵入試験の内容
- ダークウェブ上の関連情報収集
- 接続先の特定
- 通信盗聴・解析・改ざん
- 正規ツール(アプリ)の悪用
- デバッグポート経由のアクセス
- 予期しない内部データへのアクセス
- 既知のエクスプロイトの実行
- ファームウェア抽出
- 認証の迂回
- 権限昇格
- マルウェア・バックドアの設置
脆弱性試験の内容
- 公開情報の収集(資料)
- 構成情報の取得
- 通信解析
- 自動ツールによるファームウェア取り出し
- 既知の脆弱性スキャン
- ファジング
レポートのサンプル
その他
- 情報探索(ペネトレーションテストご用命時の付加サービス)
ご提供条件
事前に該当デバイスの仕様や適合が必要なガイドライン(IoTセキュリティガイドライン、IEC/JIS T 85001-5-1等)など実施条件をヒアリングの上、適切な機器の脆弱性診断とペネトレーションテストを実施いたします。
物理的にテストを行うため、デバッグポートへの侵入試験を行うデバイスでは必要に応じてはんだ付けを行うなど含めた基板への改造や、組み込みチップ上のファームウェアデータの改ざん・破損が発生するなど、破壊的テストとなる可能性があります。テスト実施制限の有無などは事前のヒアリングでお伺いいたします。
試験装置の必要数等
万一の故障時や、ペネトレーションテストによる動作不可状態が考えられるため、最低2台(ご相談)のご提供をお願いしています。
また、スムーズなテストのため、対象デバイスに対して一般的に入手可能なマニュアルや仕様書、ユーザー情報などの提供をお願いしております。もし、テスト期間が限られる場合など、よりスムーズな診断を行うため、配線図など内部仕様についてもご提供をお願いする場合があります。
こんな方におすすめ
特定のガイドラインに準拠したセキュリティ診断を実施したい
規格の脆弱性診断や侵入試験の要件や最新の攻撃方法について調べる余裕がない、専門家のアドバイスが欲しい
基本料金
個別お見積もり
オプション
御見積から提供までの流れ*(スケジュール)
| STEP | 1週間目 | 1ヶ月目 | 2ヶ月目 | 3ヶ月目 | 1年間 |
|---|---|---|---|---|---|
| ヒアリング・機器情報ご提供 | |||||
| お見積もり | |||||
| ご発注 | |||||
| 診断実施 | |||||
| 結果報告 | |||||
| 報告会 | |||||
| 再診断・問い合わせ | |||||
*:IoTペネトレーションテストでは、対象機器やご希望の診断条件により診断期間などが大きく変動します。詳細はお気軽にお問い合わせください。
御見積から提供までの流れ(詳細)
お問い合わせフォームよりお申込みください。
担当者よりご連絡させていただき、診断条件や対象機器のヒアリングを実施したうえで、必要な情報(仕様書等)をご提出いただきます。
ヒアリングの内容をもとに御見積いたします。
御見積にご納得いただけましたら正式に発注いただきます。
発注後、診断を実施する日程を調整いたします。
日程調整後、対象機器を弊社までご送付いただきます。
診断作業を実施いたします。(通常1~2か月程度))
診断結果をメールにてお送りいたします。
脆弱性が検知された場合はその対策方法についても記載させていただきます。
(診断実施から15営業日程度)
診断結果について、診断員が解説いたします。
脆弱性への対策を行った場合には、当該脆弱性部分に関する再診断を実施いたします。
(必要な方はご相談ください)
期間中は指摘項目が修正されるまで何度でも再診断が可能です。
PDF形式での再診断結果報告書はお客様ご要望時点で1回のみのご提供となります。
(報告書提出日から1年以内)
ソースコード診断(オプション)
サービス概要
<アプリケーションに対するソースコード診断 サービス概要>
お客様から提供いただいたソースコードに対し、セキュリティ検査ツールによる静的解析を行います。
- 利用ツール:Fortify Static Code Analyzer (Fortify SCA)
- 対象:Visual Studio C#(*.cs) 等
主な診断項目(ツールの特徴)
ソースコード診断では、SQLインジェクションやコマンドインジェクション、XSS、バッファオーバーフロー、メモリリーク、Nullポインタ参照といった潜在的な問題を発見します。
RayAegisでは、ツールに習熟したセキュリティエンジニアがコードの差異により引き起こされる診断の中断などに対し、利用環境のチューニングを適切に行い、各種言語によるソースコードが問題なく全コード検査されるようサービスを行います。
サービス内容
- 診断1回 / アフターサポート再診断(ツール実行)最大3回(初回診断報告書提出後6か月以内)
- アフターサポート:お客様から誤検知として連絡いただいた検出項目の報告書からの削除(診断・再診断毎に1回まで)
- 診断期間:2週間程度(本体ペネトレーションテスト期間に平行実施予定)
- 報告書作成期間:1週間程度
- 納品物:報告書(PDF納品、英語版のみのご提供となります)
※再診断等はアフターサポートとして対応いたします。