IoTでもセキュリティ対策が求められる中で、IoT機器やIoTサービスを提供する際に機器やシステムに脆弱性がないことを診断する必要性が高まっている。サイバートラストはIoTデバイスメーカーやIoTサービス事業者を主にターゲットとした、IoT脆弱性診断サービスを提供し、こうした需要に応える。

新サービスは「サイバートラスト IoT脆弱性診断サービス」で、2017年9月14日に提供を開始した。IoTデバイスだけでなく、ネットワークやクラウドなどIoTサービスの全体について総合的に脆弱性診断サービスを提供する。対象となる領域の診断項目は、情報処理推進機構（IPA）などの情報セキュリティ機関の勧告、サイバートラストの脆弱性診断のこれまでの知見や実績から選定した。

サービスはコンサルティング形式で提供する。まずエンジニアが事前ヒアリングを行い、案件ごとに見積りを実施する。診断の報告書では、経営陣に向けたリスクレベルが判断しやすい評価報告と、開発者に向けた改修しやすい詳細な脆弱性発見個所と対策方法の報告といった、異なる対象者に適した情報を提示します。

診断費用は、IoT デバイスとIoTサービスを構成するネットワーク、サーバーなどの一連で見積もる。見積り価格は、30リクエスト（WebAPI）のIoT Webアプリケーション診断と3IPのIoTネットワーク診断の場合に98万円（税別）から。

IoTデバイス診断の診断項目は下記の通り。「通信」では、対象デバイスから通信される内容の改ざんやバイパスなどを試行し、不正操作や情報の奪取が可能かどうかを診断する。「認証」では、脆弱なパスワードポリシーやパスワードが初期設定のまま利用されていないかなどを診断する。パスワード再設定のメカニズムの評価も行う。「ファームウエア」では、アップデートのファイルやメカニズムを解析し、不正なアップデートの適用や、機密情報の取得が可能かどうかを診断する。「ハードウエア」では、ハードウエアに直接有線で接続することで、ログの閲覧や機密情報の取得が可能かどうかを診断する。またその他の診断項目として、対象デバイス固有の特性を利用した攻撃者にとって優位な操作の可能性の可否や、対象とするデバイス固有の既知の脆弱性の有無も確認する。

【報道発表資料】
・サイバートラスト、IoT 脆弱性診断サービスの提供開始