NECソリューションイノベータは3月24日、セキュリティの観点からIoT機器の技術基準適合認定を支援するサービス「NEC IoTセキュリティ診断サービス」の提供を開始した。価格はStanndard(ベースライン評価)が30万円~、Advanced(リスクベース評価)が100万円~。

新サービスは4月に新設される電気通信事業法に基づく技術基準(新セキュリティ基準)で定められた、アクセス制御機能など、セキュリティ対策の基本機能の実装有無についての検証を支援することで、IoT機器の技術基準適合認定の取得をサポートするものとなる。

  • 「NEC IoTセキュリティ診断サービス」のイメージ

    「NEC IoTセキュリティ診断サービス」のイメージ

また、同社の脆弱性診断や組み込みセキュリティの知見を活かした診断、IoT機器固有のリスク分析をサービスメニューとして提供することで、安全な製品リリースをサポートするという。

Standardは、法令の一部改正で対象となるIoT機器に対して定められた、新セキュリティ基準をベースとした検証項目(1)についてアセスメントを支援するほか、総務省が認定する電気通信事業法に基づく技術基準適合認定の登録認定機関と連携して、技術基準適合認定の取得をサポート。さらに、数多くの脆弱性診断実績を持つ当社独自の検証項目(2)で評価を実施し、検証結果レポートを発行する。

検証項目(1)は端末整備等規則の改正4項目に対応し、アクセス制御機能や、初期パスワードの強制変更機能、ファームウェアの更新機能、再起動後のセキュリティ設定維持など。検証項目(2)は同社独自の検証項目となり、サービスのバナー情報から不要な情報が漏えいしていないこと、バナー情報に記載されているバージョン情報が最新であること、認証情報未入力では設定変更画面に直接アクセスできないこと、認証情報の設定変更をログで監査可能であることなどを検証する。

Advancedは、Standardの基本的な検証に加え、脆弱性診断やペネトレーションテスト、ファームウェア解析、個別のガイドラインに基づくアセスメントなどの高度な検証サービスにより、IoT機器固有のリスク分析を実施し、推奨対策を提示する。検証項目はIoTハニーポットテスト、デバイスからファームウェアの抽出容易性の検証 、暗号化実施有無の確認となる。