NECソリューションイノベータ(東京・江東区)は、セキュリティーの観点からIoT(Internet of Things)機器の技術基準適合認定を支援するサービス「NEC IoTセキュリティ診断サービス」の提供を開始した(図、ニュースリリース)。2020年4月に施行される、電気通信事業法に基づく改正技術基準(以下、新セキュリティー基準)への対応に加えて、脆弱性診断や組み込みセキュリティーの知見を生かした診断、IoT機器固有のリスク分析をメニューに用意する。 新サービスには、新セキュリティー基準に沿ってIoT機器のリスクを分析する「Standard(ベースライン評価)」と、Standardの基本的な検証支援に加えてIoT機器固有のリスクを分析する「Advanced(リスクベース評価)」の2種類がある。それぞれユーザーとして、新セキュリティー基準に対応し、IoT機器の技術基準適合認証を取得したい
先ごろジープのハッキングについて紹介しましたが、Black Hatカンファレンスで2人のリサーチャーがその具体的な方法を説明しました。 先日、今や有名になった話ですが、ジープのチェロキーの乗っ取りについて紹介しました。大規模なセキュリティカンファレンスBlack Hat USA 2015で、リサーチャーのチャーリー・ミラー(Charlie Miller)氏とクリス・ヴァラセク(Chris Valasek)氏がついにハッキングの全容を明らかにしました。 調査の開始当初、ミラー氏とヴァラセク氏はWi-Fi接続(ジープのメーカーであるクライスラーがサブスクリプションベースで提供しているオプション)経由でジープのマルチメディアシステムを乗っ取ろうとしました。蓋を開けてみれば、Wi-Fiの乗っ取りはそれほど難しくありませんでした。Wi-Fiのパスワードが、自動車とマルチメディアシステム(ヘッドユニッ
車載セキュリティに対応する開発プロセスとセキュリティ評価手法:いまさら聞けない 車載セキュリティ入門(5)(1/3 ページ) 車載セキュリティに対応するには、車載システムの開発プロセスそのものを変えていく必要がある。さらにその車載システムのセキュリティレベルを評価する仕組みも整備しなければならない。 車載セキュリティに対応する開発プロセスとは 米国自動車技術会(SAE)は「SAE J3061:サイバーフィジカル自動車システムに対するサイバーセキュリティのガイドブック(Cybersecurity Guidebook for Cyber-Physical Vehicle Systems)」と呼ばれる新しいサイバーセキュリティ規格に関する研究をしており、2016年1月にこのガイドブックが刊行されたばかりです※1)。この規格は、自動車システムが他に悪用される可能性を最小限に抑えるとともに、望ましい
自動車向け機能安全規格であるISO 26262が正式発行されて4年目を迎えました。国内の大手自動車メーカーとメガサプライヤは、ISO 26262への対応を着実に進めていますが、中小のティア1サプライヤや、ティア2以下のサプライヤの対応が順調に進んでいるとは言えない状況に変わりはありません。 そのISO 26262も第2版の検討が始まりました。第2版では、これまで乗用車だけだった適用対象が二輪車や商用車に拡大するだけでなく、規格内容の修正/変更も予定されています。既に規格対応を完了したとする企業にとっても、さらなる体制の変更が必要になる可能性があります。 また自動車開発の課題として「車載セキュリティ」も急浮上してきました。コネクテッドカーと呼ばれるように、常時通信接続によるサービスが自動車でも当たり前になってくると、悪意のある攻撃者から車載システムを守る手段が必要になります。自動運転技術の導
AUTOSARの最新動向:2016年3月版:AUTOSAR~はじめの一歩、そしてその未来(7)(1/3 ページ) 筆者へのAUTOSAR関連の問い合わせで、最近になって急激に増えているトピックが幾つかある。今回はそれらのトピックをまとめる形で、「AUTOSARの最新動向:2016年3月版」と題してお送りしよう。 これまで、マネジメント面の話ばかりが続いてきたので、今回は少々技術面にも踏み込みたい。そこで、以下に挙げるような「AUTOSAR関連で最近急にお問い合わせが増えたトピック」をまとめる形で「AUTOSARの最新動向:2016年3月版」と題してお送りする。 CAN通信におけるセキュリティ対策手法の動向 通信路における安全・セキュリティ対策 AUTOSAR Adaptive Platform(AP)/AUTOSAR Foundation(AF) 自己診断系のBSWの入手性 なお、前回予告
2009/01/08 情報処理推進機構(IPA)は1月8日、PCや情報家電、携帯端末など、TCP/IPを実装した電子機器向けに提供しているセキュリティ検査ツール「TCP/IPに係る既知の脆弱性検証ツール」の機能を拡張した。IPAに申し込むことで、CD-ROMでの貸出を受けることができる。 このツールは、コンピュータなどに搭載されているTCP/IPを実装したさまざまなソフトウェアに、TCP/IPやICMP、ARPといったネットワークプロトコルに関連する既知の脆弱性が存在しないかどうかを検査するもの。IPAがまとめた「TCP/IPに係る既知の脆弱性に関する調査報告書改訂第4版」にある25項目の脆弱性のうち、IPv4環境で19項目、IPv6環境で5項目の脆弱性を体系的に検証できる。 最初のバージョンは2008年2月6日に公開されている。今回の機能拡張では新たに、IPヘッダオプションのデータ長が0
PCの周辺機器、モバイル端末、情報家電などの組み込みシステムにおけるセキュリティレベルは二極化している。設計から実装にいたるまで十分なセキュリティ対策を施した製品がある一方で、これまで汎用システムで長い年月をかけて学んできた歴史が生かされず、古典的な脆弱性を大量に作り込んでいる製品も多い。独立行政法人 情報処理推進機構(IPA)が4月6日に行った「IPA組み込みセキュリティワークショップ」で講演した米eEye Digital Securityのシニアリサーチエンジニアの鵜飼裕司氏は、そう指摘し、ブロードバンドルータの事例を挙げて実際のクラック手法を説明した。 脆弱性の本質は、多くの場合汎用システムと同じ バッファオーバーフロー、コマンドインジェクション、ディレクトリトラバーサル、クロスサイトスクリプティング、DoS攻撃、認証バイパス……、こうしたクライアントPCやサーバの世界で常套手段とな
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く