セキュリティ設計支援
コンサルティング

セキュリティ設計支援コンサルティング

コンサルティングで策定したプロセスにしたがって、実際の製品設計・開発を支援します。

こんな課題に

  • 製品開発において、セキュリティを確保するためのプロセスを整備したい
  • 限られたIoT機器のリソースでどこまでのセキュリティ対策を実施すべきかわからない

概要

IoT機器、IoTシステムに求められるセキュリティ

IoT化により利便性が向上する反面、ネットワークと接続することで、外部から攻撃を受けるリスクが高まり、Ripple20に代表されるIoT機器の脆弱性も注目されています。
また開発においては、下記のように遵守すべきガイドラインが定められている業界もあり、こうしたガイドラインの策定は今後ほかの製造業にも広がっていくと予想されます。

  • 制御システム

    IEC 62443(欧州で調達要件に)、NIST SP800-82(米国政府)

  • 自動車

    UN-R155/156(WP29)、ISO 21434/24089(基準を満たさない場合は販売不可)

  • 通信モジュール

    2020年の技適改正により最低限のセキュリティが義務化

このように、今後、安全性の基準を満たした設計にくわえて、各業界のセキュリティガイドラインを満たした設計がより求められると考えられます。

IoT機器、IoTシステムの開発プロセスに求められるセキュリティ対策

IoT機器、IoTシステムのセキュリティ対策の課題

IoT機器のセキュリティ対策について、以下のような課題でお悩みではないでしょうか。

  • ネットワークと接続しない前提で設計を行ってきたため、セキュリティ対策についてのノウハウが設計部門にない。
  • セキュリティ管理が不十分で、脆弱性を抱えたまま設計されている可能性が高い。
  • 最近、セキュリティ意識の高い顧客や、海外の顧客からガイドライン基準への対応を求められるようになった。
  • 顧客の漠然としたセキュリティ面の懸念に対し、回答しなければならない。
  • 製品リソースや価格とセキュリティのバランスをどう決めればいいかわからない。
  • ガイドラインで求められるセキュリティにどこまで対応するか、その根拠について社内外のステークホルダーへの客観的な説明が必要。

日立ソリューションズのセキュリティ設計支援コンサルティング

日立グループの一員である日立ソリューションズは、製造業や重要インフラで培ったセキュリティ対策の豊富なノウハウを生かし、システム全体のセキュリティを考え、開発段階からIoT機器、IoTシステムのセキュリティ対策を支援します。IoT機器、IoTシステムについてセキュリティの課題を洗い出し、どこまでセキュリティを確保すればいいかをコンサルティングします。

特長

  • お客さまの検討フェーズに応じたコンサルティングを実施し、具体的な対策をご提案します。日立ソリューションズのコンサルタントがセキュリティ製品開発者の目線でリスクを分析可能です。
    お客さまの検討フェーズに応じたコンサルティングを実施するステップ
  • 自動車産業におけるセキュリティコンサルティングや、IEC 62443など国際規格を考慮したセキュリティ対策の支援などの実績が多数あります。そのため、セキュリティ規約への適合や、海外顧客向けの製品についてのコンサルティングも対応可能です。
  • 限られたIoT機器のリソースでどこまでのセキュリティ対策を実施するかの検討をサポートしたり、既存・開発中のIoT機器、IoTシステムで不足している対策についてピンポイントでご提案するなど、現場の状況に合わせて柔軟に対応します。

サービス内容

現状分析

下記のポイントでお客さまの現状を分析し、レポートを作成します。

  • 開発プロセスがセキュリティを考慮したものになっているか。
  • システム構成、データフロー設計にセキュリティ上の問題がないか。
  • 出荷した製品のファームウェアにセキュリティ上問題のあるOS設定がないか。
  • 出荷した製品の利用OSS(Open Source Software)に緊急度の高い脆弱性が残っていないか。
何から手を付けたらいいかわからないところから、コンサルタントが現状を分析しレポートを作成

設計支援

お客さまの課題に合わせて、さまざまな支援を提供します。

  • プロセスの改善:開発ガイドライン、開発者への教育。
  • 設計上の懸念:鍵管理、証明書管理機能などの追加。
  • ファームウェア設定:最低限必要な項目の洗い出し。(請負開発も可能)

脆弱性対策

ツールによる脆弱性診断の実施に加え、診断結果にもとづく影響判定の支援や、脆弱性情報の報告サービスを行います。
組み込み機器のファームウェアに利用しているOSSで一般的な脆弱性が発見されたとしても、実際に製品に影響があるかは発生条件や使い方によって変わってきます。また、組み込み機器のファームウェアのアップデートには手間と工数がかかるため、脆弱性の影響を判断することが重要になります。ツールによる脆弱性診断だけでなく、こうした分析もサービスとして提供することで、お客さまの判断を支援します。

脆弱性情報の報告サービス

ワークショップ

IoT機器の開発製造に求められるセキュリティ対策の基礎知識、業界動向をワークショップ形式で学んでいただきます。なお、オンラインでの開催も可能です。

  • 狙い

    関係する担当者のセキュリティ知識の底上げ、および取引先のセキュリティ要求やインシデント発生時に対応する体制整備のお手伝いをします。

  • 主なワークショップの内容  ※ご要望に応じて内容は調整します。

    ・製品セキュリティ課題の整理
    ・外部からの攻撃や脆弱性などインシデント事例
    ・セキュリティに関する標準規格の解説
    ・セキュリティ対策事例
    ・組織、体制づくりの事例
    ・質疑応答

  • 期待される受講の効果

    ・自社のIoT機器、制御システム、スマートファクトリーにおいて、セキュリティ対策が不足している部分を把握し、対策を検討できるようになる
    ・セキュリティ対策を検討する際、セキュリティとコスト両面について、バランスのよい設計を考えられるようになる
    ・IoT機器、IoTシステムにおけるセキュリティインシデント発生時の対応の方針と手順を策定できるようになる

ワークショップ

作業期間

作業期間は一例です。お客さまとご相談のうえ、決定させていただきます。
・現状分析:1カ月
・設計支援 :3カ月
・脆弱性対策 :2カ月
・ワークショップ:半日

価格

個別見積もり

セキュリティコンサルティング コンテンツ一覧

関連商品・キーワード