IoT機器がめざましい技術的進歩を遂げている一方で、脆弱性対策はIoT機器のセキュアな利活用を十分に下支えできるほどの発展をしているとは言えません。今日のIoT機器は、悪意のあるユーザーによって多様な攻撃被害に遭う危機に瀕しています。

• スマートロック

アクセス制御を不正に取得され、利用者が意図しない施錠や開錠が行われてしまう

• プリンター

リモートコードの不正な実行、またそれらのネットワーク全体への拡散が発生してしまう

• ストリームカメラ

ライブ映像や音声が傍受されてしまう

• 投薬機器

既定の投薬量が確認なく不正に変更され、患者に誤って投与されてしまう

このような攻撃被害を防止するために、IoT機器は以下の様々な側面からセキュリティの検証と対策が求められています。

• チップセットやハードウェアのセキュリティ

サイドチャネル攻撃や情報の改ざんなど、物理的な脆弱性による被害を防ぐための対応が必要です。

• ファームウェアのセキュリティ

アップデートが安全に実行されるか、組み込みソフトウェアに脆弱性が含まれていないかなどの検証と対策が必要です。

• ネットワークプロトコルのセキュリティ

保護されていないネットワークトラフィックがないか、プロトコルに未知の脆弱性がないか（ファジング試験）などの検証と対策が求められます。

• アプリケーションソフトウェアのセキュリティ

認証機構に脆弱性がないか、Webベースの攻撃に対しての露出がされていないか、などへの検証と対策が必要です。

IoT Security Assessmentは、物理的な攻撃を除く、全ての検証や対策を一元的に実行・管理することが可能です。

昨今のIoT機器は、内製ソフトウェアの開発に比べて大きく工数を削減できるとの背景もあり、オープンソース・商用を問わずサードパーティ製のソフトウェアを組み込む流れが大きくなっています。ただしそれらのソフトウェアが機器内のどの部分にどのような形でどのくらいの数、どの段階で組み込まれているか、全て明確に管理されているケースは多くありません。
サードパーティ製のものがどの部分に組み込まれているか不明瞭な機器は、その機器で脆弱性が見つかった際にその解消を困難にします。特にサードパーティ製のソフトウェアが脆弱性を含んでいると、開発段階で内製部分の脆弱性検証を十分に行っていても開発者側が想定していない形で脆弱性が発現し、問題が発生している部分の特定や特定後の対処に多くの時間を要してしまいます。

このような問題点への対策として、近年はSBOMへの注目が高まっています。
SBOMとはSoftware Bill of Materialsの頭文字をとった略称であり、簡単に言うとソフトウェアの部品表です。製品や機器の中に含まれているソフトウェアを構成するコンポーネント、さらにはそれらの依存関係やライセンス情報、バージョン情報などを全てリスト化したものであり、実際にどのようなソフトウェア・コンポーネントが組み込まれているかを把握することができます。
世界的にもSBOMを活用する流れは広まってきており、米国やEUなどでは実際にSBOMへの対応義務を法的に定めた規制や標準も成立しています。
現在までに成立している規制や標準は、政府が導入する機器や医療機器など、特に高い安全性が求められる製品や機器に限定されています。しかしEUと米国でこれらの規制・標準が誕生したことで、日本を含む他国もSBOM規制に関する取り組みに追従し、世界的にSBOM活用の流れが今後も拡大していくことが予想されます。

IoT Security Assessmentは、SBOM の作成を行うモジュールも用意されています。本製品を導入いただくことで、今後到来するであろうSBOM対応が求められる情勢にいち早く対応し、セキュアな運用を強化する環境を整備することが可能です。