2017年12月5日
PwCサイバーサービス合同会社
PwCサイバーサービス合同会社(東京都千代田区、代表執行役 足立晋)は12月5日、IoT製品、組み込み機器などの脆弱性を診断する「ハードウェアハッキング・ラボ」を開設し、稼働を開始しました。
さまざまなモノがインターネットにつながるIoTは、自動車、家電製品、医療機器、防衛装備品、航空宇宙関連機器などの組み込み機器・製品群から、工場・プラント等の設備(制御システム、エネルギープラントなど)に至るまで、急速に普及しています。IoT化はすべての産業に恩恵をもたらす反面、サイバー攻撃を受けるリスクは高まっています。車両システムの脆弱性発覚、世界規模のランサムウェア攻撃による工場稼働停止や医療機関のシステムダウンといった新たなサイバーリスクが顕在化しています。自動車、医療設備、防衛設備などで被害が出ると生死にかかわる可能性があり、企業は、情報システムはもちろん、製品、設備を含む事業全体のセキュリティを担保することが急務となっています。
ハードウェアハッキング・ラボは、従来のネットワークを対象とした脆弱性診断では検知できない、車両システムなどIoT製品、組み込み機器の検査に特化した研究施設です。攻撃者と同じ目線にたち、完全なブラックボックステストを実施できる能力と設備を有しています。当ラボには、主に次のような特徴があります。
IoT製品、組み込み機器のセキュリティ診断を実行するためには、ソフトウェア、ハードウェア両方のハッキング技術を持つ専門家が必要です。ソフトウェア側から、ハードウェア側から、それぞれアプローチすることで、ターゲットプラットフォームをより正確に理解し、機器の脆弱性を診断します。
組み込まれた機器を制御するファームウェアに対し、ブラックボックステストとホワイトボックステストを実施することで脆弱性を診断します。対象のアーキテクチャを選ばず、製品を解体・分解して、機器を分析するリバースエンジニアリング技術でファームウェア/ソフトウェア上で発生する可能性のあるセキュリティ問題を発見します。
一般的なチェックリストベースのセキュリティ診断ではなく、攻撃者の立場から顧客のインフラストラクチャへの脅威が存在するかどうかを診断します。当ラボの経験豊かなエンジニアが、実際の攻撃者の視点から、製品のセキュリティレベルを評価します。
高度な専門性を有するホワイトハッカーにより、 攻撃者と同等環境・アプローチによるサイバー攻撃可能性のリアルな実証を行います。
図: ハッカー視点でのセキュリティ評価
当社は、内閣府推進の研究開発事業「戦略的イノベーション創造プログラム(SIP)自動走行システム」の管理法人NEDO(国立研究開発法人新エネルギー・産業技術総合開発機構)より、PwCコンサルティング合同会社が受注した、「戦略的イノベーション創造プログラム(SIP)自動走行システム/大規模実証実験」のうち「情報セキュリティ実証実験」に係る委託契約において、車両システムの対ハッキング性能検証のための脆弱性診断業務等を実施します。
ハードウェアハッキング・ラボは、車両システム単体のハッキングテストにとどまらず、スマートフォンなどのスマートデバイス、V2XやOTAといった車両システムと連携する機器やサーバーも含めた総合的なハッキングテストサービスも提供します。今後、車両システムやIoT製品、組み込み機器、プラント設備などを提供する組織を対象に、新しいサイバーセキュリティの脅威を検出し、解決するためのサービスを提供してまいります。
以上
PwCサイバーサービス合同会社は、サイバーセキュリティの専門家、研究者を多数擁しており、PwCグローバルネットワークと連携することで、国内外のサイバーセキュリティ動向に精通したサービスを提供しています。従来の防御主体のセキュリティ対策から脱却し、攻撃を受けることを前提に迅速に対応する“レジリエントセキュリティ”を実現します。
PwCコンサルティング合同会社は、経営戦略の策定から実行まで総合的なコンサルティングサービスを提供しています。PwCグローバルネットワークと連携しながら、クライアントが直面する複雑で困難な経営課題の解決に取り組み、グローバル市場で競争力を高めることを支援します。