経済産業省 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き
こんにちは、丸山満彦です。
経済産業省が、
...セキュリティ検証サービスの高度化を目的とし、検証サービス事業者及び検証依頼者が実施すべき事項や、二者間のコミュニケーションにおいて留意すべき事項等について整理した「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」を公開しました。
とのことです。。。産業サイバーセキュリティ研究会WG3の成果物ですね。(ちなみに私はWG2です。。。)
● 経済産業省
・2021.04.19 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引きを取りまとめました
本手引きは、セキュリティ検証サービスの高度化を目的とするもので、以下の点について整理したものです。
- 機器のセキュリティ検証において検証サービス事業者が実施すべき事項
- より良い検証サービスを受けるために検証依頼者が実施すべき事項及び持つべき知識
- 検証サービス事業者・検証依頼者間の適切なコミュニケーションのために二者間で共有すべき情報や留意すべき事項
手引きの本編・別冊の概要
- [PDF]【本編】機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き
検証サービス事業者が実施すべき事項や、検証依頼者が実施すべき事項や用意すべき情報、二者間のコミュニケーションにおいて留意すべき事項等を示す。
信頼できる検証サービス事業者を判断するための基準を記載する。 - [PDF]【別冊1】脅威分析及びセキュリティ検証の詳細解説書
検証サービス事業者が実施すべき脅威分析の手法や実施すべき検証項目、検証の流れを詳細に示す。
機器全般に汎用的に活用できる整理を目標とするが、対象の例としてネットワークカメラを実例とした手法の適用結果も示す。 - [PDF]【別冊2】機器メーカに向けた脅威分析及びセキュリティ検証の解説書
機器メーカが実施すべき事項や用意すべき情報等、意図した検証を依頼するために必要な事項を詳細に示す。
攻撃手法への対策例や、検証結果を踏まえたリスク評価等の対応方針を示す。 - [PDF]【別冊3】検証人材の育成に向けた手引き
検証人材に求められるスキル・知識を示し、それらのスキル・知識を獲得するために望まれる取り組みを示す。
検証人材のキャリアを構想・設計する上で考慮すべき観点を示し、検証人材のキャリアの可能性を示す。
(いわゆる白表紙。。。表紙より中身です。もちろん!でも、諸外国の資料と比べるとなぁ...とか...)
本編の目次
----
「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」 の策定にあたって
1. 背景と目的
1.1 背景
1.2 本手引きの目的
1.3 本手引きで対象とする機器
1.4 対象者
1.5 本手引きの活用方法
1.6 本手引き・本編の構成
2. 機器検証とは
2.1 検証の目的
2.2 一般的な検証手法
2.3 その他の検証手法
3. 検証の実施
3.1 検証手順
3.2 検証に向けた準備
3.3 検証計画の策定
3.4 検証実施
3.5 検証における留意点
4 検証結果の報告
4.1 検証結果の分析
4.2 検証結果の報告
5 付録
5.1 機器固有の検証手法等
5.2 用語集
5.3 参考文書
1. 背景と目的
2. 対象機器の調査・モデル化
3. 対象機器の脅威分析
3.1 概要
3.2 脅威分析の対象の決定と守るべき資産の洗い出し
3.3 DFD によるデータフローの可視化
3.4 STRIDE による脅威の洗い出し
3.5 Attack Tree による脅威を実現する攻撃手法の調査
3.6 DREAD による脅威が実現した場合のリスクの評価
3.7 脅威分析の具体例
3.8 分析結果のセキュリティ検証への活用
4. セキュリティ検証の詳細手順
4.1 概要
4.2 検証環境
4.3 ファームウェア解析
4.4 バイナリ解析
4.5 ネットワークスキャン
4.6 既知脆弱性の診断
4.7 ファジング
4.8 ネットワークキャプチャ
5. 検証結果の分析と報告
5.1 ファームウェア解析
5.2 バイナリ解析
5.3 ネットワークスキャン
5.4 既知脆弱性の診断
5.5 ファジング
5.6 ネットワークキャプチャ
6 付録
6.1 用語集
6.2 参考文書
6.3 脅威分析手法の補足
6.4 Raspberry Pi 環境の構築手順
6.5 Bluetooth インタフェースに対する検証について
6.6 セキュリティ検証に活用できるツール、技術の補足
6.7 DREAD によるスコアリングの補足
1. 背景と目的
2. IoT 機器等開発における検証の位置づけ
3. 機器メーカにおける脅威分析の実施
3.1 守るべき資産の検討
3.2 攻撃ポイントの分析
3.3 想定される脅威の分析
3.4 セキュリティ要求事項の検討
4. 検証依頼にあたって機器メーカが知るべき検証手法
4.1 機器メーカが知るべき代表的な検証手法
4.2 ハードウェアハッキング・ファームウェア解析
4.3 バイナリ解析
4.4 ネットワークスキャン
4.5 既知脆弱性の診断
4.6 ファジング
4.7 ネットワークキャプチャ
4.8 検証依頼時に用意することが望まれる情報
5. 検証結果を踏まえた対応の検討
5.1 検証報告に対する機器メーカの対応
5.2 検証結果に基づくリスク評価と対応方針の検討
5.3 ハードウェアハッキング・ファームウェア解析の結果を踏まえての対応
5.4 バイナリ解析の結果を踏まえての対応
5.5 ネットワークスキャンの結果を踏まえての対応
5.6 既知脆弱性の診断の結果を踏まえての対応
5.7 ファジングの結果を踏まえての対応
5.8 ネットワークキャプチャの結果を踏まえての対応
5.9 製品リリースにあたり機器メーカとして検討しておくべき事項
6 付録
6.1 国内外のセキュリティガイドラインと本別冊との対応
6.2 検証依頼時に用意することが望まれる情報の逆引き表
6.3 用語集
« 気になった記事2つ(大変革期に突入した自動車産業とサイバーセキュリティ、クラウドネイティブセキュリティ101) | Main | 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事 »
Comments