IoT機器向けサイバーセキュリティ支援サービス

サイバーセキュリティとは

サイバーセキュリティとは、機器、ネットワーク、プログラム、データを不正アクセスから保護するために設計されたテクノロジー、プロセス、およびプラクティスの体系を指します。そのため、インターネットに接続された機器が常に攻撃を受けている場合、その機器が乗っ取られて使用不可能になったり、自社または顧客のデータが失われたりする可能性があります。いずれの企業にとっても、ブランドや消費者信頼の観点からは壊滅的な打撃を与える可能性があり、法的に深刻な影響を与えることさえあります。このことは、「サイバーセキュア」であることを保証することの重要性を浮き彫りにしています。

グローバルな法規制：NISTIR8259およびEN303645

世界規模でサイバー規制の導入が義務化されつつあります。そのため、製造業者は、エンドユーザーに対してどのような責任を負うかを理解することが重要です。すでにいくつかのサイバーセキュリティ基準や推奨事項があり、IoT機器のサイバーセキュリティに関するガイダンスを提供しています。
義務化されたサイバーセキュリティ規制は世界規模で見直されているため、あらゆる製品開発においてこれを考慮することが重要です。現在、IoT機器のサイバーセキュリティに関するガイダンスやテスト要件を提供するいくつかのサイバーセキュリティ基準がありますが、下記の2つの基準が今後重要となります。

• ETSI EN 303 645 -これは、消費者向けIoT機器のベースライン・セキュリティを奨励するために設計された欧州規格です。
• NISTIR 8259 - IoTデバイスのための基礎的なサイバーセキュリティです。米国の法規制をサポートするために使用できます。

試験・評価サービス概要

インターネットに接続されているすべての機器は、即座に悪意のある攻撃者のターゲットとなり、攻撃者は機器を侵害しようとします。サイバーセキュリティの評価と関連する試験を行うことで、製造業者は攻撃をシミュレーションし、脆弱性を特定することができます。このような評価は通常、リスク分析と直接試験を組み合わせて行われます。

試験サービスに含まれるもの

試験および評価について、いくつかの方法で実施が可能です。たとえば、適用可能な基準で定義することや、業界で認められている方法を用いた独自の試験として定義することが可能です。単純なものでは、デフォルトのパスワードのチェック、ソフトウェアのアップデート、脆弱性の報告などが標準で要求されますが、より詳細なものとして侵入試験（ペネトレーションテスト）が適用される場合もあります。

テュフズードのサービス

テュフズードは、多数のサイバーエキスパートが集まる試験施設を世界中に展開しています。当社は、上述した最新の基準および規制に対する試験を実施するとともに、個別のリスク評価、試験、およびサイバートレーニングをサービスとして提供しています。

• EN 303 645およびNISTIR 8259へのIoT機器試験
• 侵入テスト（ペネトレーションテスト）
• サイバーセキュリティのリスクアセスメント(IoT、ネットワーク、B2B)
• GDPR（一般データ保護規則）とデータプライバシー
• 各国規制に基づいた試験 (RED,EMC,Safety,Global Market Access(GMA))