サイバーセキュリティ・ラボ
IoT時代の今、サイバーセキュリティは予測不可能で巨額の損失を引き起こすリスクとなっています。インターネットに接続されていれば、すべてがハッキングされる恐れがあり、小型やIoTのデバイスは、サイバー脅威の新たな標的となっています。
アリオンのサイバーセキュリティ・ソリューションは、サイバー攻撃や脅威から効果的に防御できるよう御社を支援します。
サイバーセキュリティを確実なものにする方法
- ネットワーク・セキュリティ
- エンドポイント・セキュリティ
- アプリケーション・セキュリティ
- データ・セキュリティ
- ID管理とアクセス管理(IAM)
- ゼロトラスト・アーキテクチャー
サイバーセキュリティを確実なものにする方法
- OWASP(The Open Web Application Security Project)が発行する重要なセキュリティの課問題を定期的に確認します。
- 防御は素早く、柔軟に実施しましょう。サイバー世界の進展に伴い、セキュリティの重要な問題は刻々と変化します。
- 当社のサイバーセキュリティ・ソリューションは、OWASPや関連の団体からのIoTに関する発表を参照しながら、セキュリティ・リスクの解決または様々なユーザー・シナリオに応じて対応することが可能です。アリオンへご相談ください。
いつでも、ハッカーから標的とされ、被害者になる可能性があります
Connected Vehicle
細心の注意を!スマートカーはハッキングされる恐れがあります!
私たちはネットワーク接続されたデバイスや車を毎日利用していますが、製品のサイバーセキュリティ認証を無視した場合、ユーザーが深刻で命にすらかかわる問題を抱えるリスクが存在します。
サイバーセキュリティは、様々な形態をとります。
自動車業界では、V2X(Vehicle to Everything)の主な要素にT-Box(Telematics-Box)あります。IOV(Internet of Vehicle)プラットフォームのインターネットを通じて、外部と通信する役割を持ち、各ブランドの所有者を守る重要な役割を持ちます。
主な検証
-
- サービス安定性
- データ・セキュリティ
- 個々のハードウェア・レベルでのセキュリティ
安全でないエコシステムのインターフェース
安全ではないデータ転送と保存
物理的な堅牢さの欠如
セキュアなアップデート機能の欠如
安全でないネットワーク・サービス
推測が容易、またはハードコーディングされた脆弱なパスワード
安全でないか、旧式のコンポーネントの利用
不十分なプライバシー保護
デバイス管理の不在欠如
安全でないデフォルト設定
Any Connected Devices
手遅れになる前に、検証を準備しましょう!
サイバーセキュリティは、すべてのRF対応デバイスにも影響を及ぼします。当社の目標は、サイバー脅威が現実化する前に防ぐことです。
アリオンは、脆弱性スキャンや侵害テストなど、実績に裏付けられたコンサルティングとカスタム・テストサービスを提供します。
当社はお客様を侵害から守り、機密データの漏洩を防止します。脆弱性スキャンは、デバイスで実行されるシステムとソフトウェアのセキュリティ脆弱性と障害を特定するプロセスです。これは脆弱性管理プログラムの不可欠な要素で、侵害と機密データの漏洩を防止するという崇高な目標を実現します。
深刻な被害をもたらす可能性があり
悪用により搾取は権限の悪用の可能性があり
悪用により搾取は大規模なデータ損失やシステム停止の可能性があり
推測が容易、またはハードコーディングされた脆弱なパスワード
安全でないネットワーク・サービス
安全でないエコシステムのインターフェース
攻撃者がソーシャル・エンジニアリングを使用し、個人を攻撃する
悪用により、攻撃者が被害者と同じローカルネットワークに潜む
悪用により、システムへのアクセスが非常に制限される脆弱性があり
搾取を行うためのユーザー権限が必要な脆弱性があり
セキュアなアップデート機能の欠如
安全でないか、旧式のコンポーネントの利用
不十分なプライバシー保護
安全でないデータ転送と保存
安全でないデフォルト設定
企業組織の業務へ限定的な影響を与える
ローカル、または物理的なシステム・アクセスが必要である
軽度なデータ損失やデータ流出の可能性があり
不十分なデバイス管理
物理的な補強の欠如
サイバーセキュリティ検証
ブラックボックス検出(ウェブ脆弱性スキャン)
ハッカー侵入の攻撃モードをシミュレーションし、様々な攻撃モードを使用し、多様な目的にまたがるウェブサイトの脆弱性を発見し、情報セキュリティレポートを提供します。
ホワイトボックス検出(プログラムソースコードスキャン)
ソースコード検査はポジティブテストを1回、再テストを2回行い、資料を提出し、合計3回のテストレポートを提供します。
侵害テスト
脆弱性の詳細な説明と修復の推奨内容を記載したレポートと再検査を伴うURL侵入テストと、リモートでの修復コンサルティングサービスを開始時とレビュー時に行います。
システム脆弱性スキャン
- 攻撃者がリモートで機密情報へアクセスできる脆弱性を特定します。
- システムが最新のソフトウェアパッチを備えているか、確認します。
- システムのアカウントでデフォルトまたは標準的なパスワードを試し、脆弱性の解析と生産レポートを提供します。
*すべてのテストは、業界標準の規範レポート(FISMA、GLBA、HIPAA、SOX、DISA、PCI-DSSなど)、および規制準拠レポート(OWASP、WASC、NERC CIPC、ISO 27001、ISO 27002、NIST、CWE/SANSなど)に準拠します。
ユーザー名列挙
脆弱なパスワード
既知のデフォルト認証
安全でないパスワードの保存と回復機能
不要な、または安全でないネットワーク/ワイヤレスサービス
認証されないリモート制御の許可
認証されない権限の付与
安全でないウェブ、バックエンドAPI、モバイルインターフェース
脆弱な暗号化
DNSキャッシュの感染
既知のバックドア
ファームウェア検証
安全提供
アンチロールバック機能
セキュリティ・アップデート通知
安全でないか、推奨されないソフトウェア・コンポーネント/ライブラリー
OSプラットフォームの安全でないカスタマイズ
SSLストライピング攻撃
脆弱なアルゴリズム
個人情報の不適切な保管
クリアテキストまたはハードコーディングされたユーザー名あるいはパスワード
クリアテキストまたはハードコーディングされたサードパーティ認証
クリアテキストまたはハードコーディングされた暗号化キー
既知のセキュリティ問題を抱えたデフォルト設定
セキュリティ問題を通じて設定を変更可能
アップデート管理
安全な廃止措置
システム監視
ハードウェアからの機密データ漏えい
ハードウェアの改ざん検出