令和元年度サイバー・フィジカル・セキュリティ対策促進事業 先進的手法を用いた脆弱性検証に関する調査 報告書

この報告は、IoT機器等に対する先進的手法を用いた脆弱性検証に関する調査について書かれた報告書である。本調査は経済産業省が実施したもので、Society 5.0の実現に向けてサイバー空間とフィジカル空間の融合が進む中、IoT機器のセキュリティ確保と包括的な検証基盤の構築を目的としている。調査では、UTM、ネットワークルータ、タブレット、スマートロックの4機器を選定し、民間検証サービス事業者における脆弱性検証の現状を比較・分析した。各機器の検証手法として、情報収集、ハードウェア調査、ファームウェア解析、バイナリ解析、Webコンソール検証、ファジング等が実施されており、検証には専門的なハードウェア解析ツールや逆アセンブラ等が必要とされる。また、検証者には機器分解スキル、バイナリ解析能力、効率的な検証実施能力等が求められることが明らかになった。さらに、検証サービス事業者の信頼性確保に必要な要件として、情報管理体制と事業としての信頼性が重要であることが確認された。これらの調査結果に基づき、検証サービス事業者向けガイドライン案が作成され、「Proven in Japan」の実現に向けた高水準・高信頼の検証サービス拡大のための包括的な検証基盤構築が提案されている。