セキュリティ検証支援サービス
皆様へセキュリティ対策テストをご支援します。
- 対象業界:自動車/FA/ロボット/建設機械/船舶等
- 対象部門:組込みソフトウェア開発
課題
こんな現状・課題はありませんか?
- セキュリティ対策を講じなければならないのは理解しているが、どのように行ったらよいかがわからない
- 従来の開発で手がいっぱいでリソースが足りない
解決
皆様へセキュリティ対策テストをご支援します。
本サービスのセキュリティ検証の観点
改ざん検知の確認
不正入力値耐性の確認(Fuzzing)
DoS攻撃耐性の確認
仕様外サービスの確認
再送攻撃耐性の確認
本サービスの検証方法
ECUペネトレーションテスト
外部ガイドラインに則ったペネトレーションテストを実施、または、ブラックボックス手法によるテストを実施します
ファジングテスト
対象製品のシステムに、ファズデータ(想定外のデータ)を大量に入力し、システムが停止する、出力結果が想定外の値になるなどの異常動作を
行わない事を確認し、システムの堅牢性を確認します。
行わない事を確認し、システムの堅牢性を確認します。
CANをはじめとする通信インタフェーステスト
外部から通信インタフェース経由でセキュリティテスト及び通信データが保護されているか評価します。
ECUペネトレーションテスト
対象とする脅威を選定し(検証項目)ペネトレーションテストを実施
お客様からの開示情報を基にグレーボックス/ホワイトボックステストを実施
・ハードウェアを分析し重要なデータ漏洩をはじめとした、セキュリティ上の問題を評価
・通信インターフェースに対し、外部からのセキュリティテストを実施し、通信データが保護されているかを評価
・ソフトウェアを解析し、認証許可やセキュアブートの実装不備をはじめとしたセキュリティ上の不備を評価
・通信インターフェースに対し、外部からのセキュリティテストを実施し、通信データが保護されているかを評価
・ソフトウェアを解析し、認証許可やセキュアブートの実装不備をはじめとしたセキュリティ上の不備を評価
ペネトレーションテストの評価観点
・多様な観点からIoT デバイスを評価
ファジングテスト
ファジングテスト実施の課題
・ファズデータの用意
手動で大量のデータを作成するのには工数や手間がかかる
用意したデータをテスト実行環境で使用できるように準備するには手間がかかる
・テスト実行環境の準備
実機を使用した場合、ファズデータ(想定外データ)の利用で予期せぬ故障が考えられる
デバッガなどを利用して実施すると、人手も工数もかかる
手動で大量のデータを作成するのには工数や手間がかかる
用意したデータをテスト実行環境で使用できるように準備するには手間がかかる
・テスト実行環境の準備
実機を使用した場合、ファズデータ(想定外データ)の利用で予期せぬ故障が考えられる
デバッガなどを利用して実施すると、人手も工数もかかる
カバレッジマスターwinAMS(CMW)/Quality Town for Embedded grade(QTE)を用いた
ファジングテスト
単体テストで実績のあるCMW/QTEを用いたマイコンシミュレータを使用したソフトウェアのファジングテストを実施することで、PC-Nativeでは
検出できない、精度の高い検証が可能。
検出できない、精度の高い検証が可能。
参考① 出力値が異常値ではないことの確認
参考②–1 想定外メモリへのアクセス検知–1
参考②–2 想定外メモリへのアクセス検知–2
CANをはじめとする通信インタフェーステスト
インタフェーステストの評価対象
・ネットワーク/車両システム
インタフェーステストの評価観点
・仕様外サービスの確認
・不正入力値耐性の確認
・TLS/Wi-Fi/Bluetooth/CAN/Ethernetの設定確認
・不正入力値耐性の確認
・TLS/Wi-Fi/Bluetooth/CAN/Ethernetの設定確認
関連ガイドライン
・業界標準の基準に応じたテストスイートを用意
方策は独自ノウハウ
方策は独自ノウハウ
