セキュリティコンサルティングによる製品に関するリスク評価結果と組込ソフトウェア開発の実績(車載機器やIoT機器などに実装した共通鍵/公開鍵暗号、デジタル署名検証、相互認証、セキュアブート、ソフトウェアアップデートなどのアセット)を基に、セキュリティ専門家がお客さまの課題に即したセキュリティソリューションを提供し、お客さまのセキュリティ対策を実現します。
車載機器やIoT機器の製品ライフサイクル全体で脅威・脆弱性対策を支援するセキュリティソリューションを提供していきます。
製品セキュリティのスパイラル成長モデル
お客さまの課題解決のために、日立ソリューションズグループが各社の強みを活かして、最適なソリューションをご提案します。
分類 | 支援項目 | 支援概要 |
---|---|---|
コンサルティング | PSIRT構築コンサルティング | 製造業におけるセキュリティ対策の実績・ノウハウを活用し、IEC62443やUN-R155・UN-R156(WP29)などにもとづいて、製品の設計・開発から運用・保守まで支援 |
サイバーレジリエンス法対応支援コンサルティング | サイバーレジリエンス法(EU Cyber Resilience Act)のセキュリティ要件への適合を考慮して、製品のセキュア開発や脆弱性管理を行う組織体制の構築、ポリシー・プロセス策定を支援 | |
自動車向け ISO 21434対応コンサルティング |
自動車業界における、セキュリティインシデント発生時の体制や対応手順の整備を支援 | |
脆弱性・脅威情報提供ソリューション | お客さまの製品に関連する脆弱性・脅威情報を収集し、レポートで報告、収集した情報を多角的に分析し、製品への影響度など当社独自の見解をレポートで提供 | |
PSIRT構築支援 | お客さまのPSIRTを構築し運営する際に必要なプロセス、ガイドライン、手順書の作成を支援 | |
セキュリティ技術支援 | セキュリティ関連ソフトウェア開発の支援,セキュリティコンサルティング結果に基づく、セキュリティ対策の技術支援 | |
エンジニアリング | セキュリティ要件定義 | 脅威分析・リスク評価、セキュリティ対策策定 |
セキュリティ設計 | 構造設計、詳細設計、脆弱性分析、レビュー | |
セキュリティ実装 | セキュアコーディング、静的解析ツールによるCERT-C対応検証 | |
セキュリティテスト | 脅威/脆弱性分析に基づくテスト項目作成、テスト実施 | |
商材活用 | 製品セキュリティプラットフォーム | 「Cybellum Product Security Platform」(*1)の販売と活用支援 「Kinibi」(*2)の販売と活用支援 |
脅威監視ソリューション | ソフトウェアツールの活用支援
|
|
MSS | セキュリティ監視運用 | ソフトウェアツールの運用支援 |
PSIRT運用支援 | 「Cybellum Product Security Platform」(*1)を活用した脆弱性管理の環境構築、脆弱性監視運用代行、お客さまの製品に影響のある脆弱性に関する情報やアドバイスを提供 |
日立ソリューションズのIT分野でのサイバーセキュリティコンサルティング実績と日立ソリューションズ・テクノロジーのIoT分野でのサイバーセキュリティ開発実績を用いて、IoT製品のサイバーセキュリティおよびサイバーレジリエンス(CSAR)に関するサービスを展開しています。
CSAR: (C)yber (S)ecurity (a)nd Cyber (R)esilience
お客さまの課題解決のために、日立ソリューションズグループが各社の強みを活かして、最適なソリューションをご提案します。
以下の有資格者が、お客さまのセキュリティ対策を支援します。
主催 | 認定資格 |
---|---|
IPA | 情報処理安全確保支援士 |
(ISC)2 | CISSP(Certified Information Systems Security Professional) |
EC-Council | CEH(Certified Ethical Hacker) CND(Certified Network Defender) |
AWS | Certified Solutions Architect - professional Certified DevOps Engineer - professional |
DNV | Automotive Cybersecurity Practitioner - Competent (Tech) | intacs | Automotive SPICE Provisional Assessor |
2024年7月時点
製品開発において、セキュリティ対策を義務付ける法規の対応は当然として、一般的に開発者に要求されるセキュリティ対策義務を果たすことも、企業にとって極めて重要です。特に、製品開発が業界標準のセキュリティガイドラインに準拠していない場合、製品の潜在的な脆弱性により、セキュリティインシデントが発生するリスクが高まります。車載機器やIoT機器において、機密情報の漏えい、データの改ざん、サービス停止などの被害が発生した場合、企業は被害者から訴訟を提起されるほか、企業の信頼性やブランド価値の低下、さらには多額の賠償金の支払いを余儀なくされる可能性があります。したがって、製品開発においては、製品ライフサイクル全体で業界標準のセキュリティガイドラインを厳守し、適切なセキュリティ対策を講じることが不可欠です。
ネットワークに直接的/間接的に接続される製品は、製品のサポート期間中に発生する脅威からエンドユーザを守るために開発サイクルと運用サイクルを繰り返す継続的なセキュリティ対策が求められます。
お客さまの背景に合わせた適切なPSIRTを構築することで、セキュリティインシデントに対して迅速かつ効果的な対応が可能となり、企業全体のセキュリティリスクを大幅に低減することが可能となります。
PSIRTに関する以下のサービスを提供します。
サービス | 内容 |
---|---|
PSIRT構築支援 | お客さまがPSIRTを構築し、開発と運用の製品ライフサイクルを実施する際に必要なプロセス、ガイドライン、手順書の作成を支援します。スモールスタートしたいお客さまには、ISO/SAE 21434規格の要件である「8.6 脆弱性管理」と「13.3 サイバーセキュリティインシデント対応」を考慮したインシデント対応手順書をご提供できます。本手順書をお客さまの背景に合わせてカスタマイズ(テーラリング)することで、簡易に手順書一式を作り上げることができます。 |
PSIRT運用支援 | 製品セキュリティプラットフォーム「Cybellum Product Security Platform」を活用した脆弱性管理の環境構築、脆弱性監視の運用代行、お客さまの製品に影響のある脆弱性に関する情報やアドバイスを提供します。 |
お客さまのPSIRTと提供サービス
近年、製造業をターゲットとしたサイバー攻撃が増加しています。ゼロデイ攻撃や工場特有の脆弱性を狙った攻撃(VPN保守用回線の脆弱性、製造ラインメンテナンス時の一時的な機器接続による感染など)も増えていることから、脅威の侵入を完全に防ぐことは困難です。そのため、脅威の侵入を防ぐ対策に加えて、脅威に侵入されることを前提として、エンドポイント(機器やデータベース)においてもセキュリティ対策を実施することが重要となります。
製造現場で培ったノウハウを活かして、工場環境におけるセキュリティ対策における課題を把握し、セキュリティ対策の支援を行います。製造ラインをコントロールしている機器、工場内データを管理しているデータベースへの脅威の侵入を前提として、エンドポイントで確実に脅威を防ぐソリューションを提供します。
AIを利用した検索エンジンにより、既知か未知かを問わず脅威の検知が可能なマルウェア対策製品です。パターンファイルの更新が不要なため、セキュリティ管理者の負担が少なく、高い脅威検知率(99%以上)を実現します。また、レガシーOSにも対応し、システム負荷の影響が少ない軽量エージェントによって、工場環境に適したセキュリティ対策を実現できます。
潜在する脅威に対する予防、インシデント発生時の迅速な分析と対処を実現するEDR(Endpoint Detection and Response)機能を提供します。エンドポイントに潜む潜在的な脅威の振る舞いを自動で検知することで、潜在する脅威の拡散防止を図ることができます。また、マルウェアの侵入経路の解析も可能で、これを利用し根本対策に役立てることができます。
データベースへ影響を与えることなく正確なアクセスログを記録し、不正アクセスを監視するデータベース監査ツールです。各種データベース(Oracle、Microsoft SQL Server、MySQL、PostgreSQL)に対応し、アクセスログの保管とバックアップは自動化され、リアルタイムで不正アクセスの通知と事後のアクセスログの解析が可能です。監視コンソール画面はグラフィカルで簡単に操作できるため、管理コストを抑えてセキュリティ対策を実現できます。また、独自の技術でシステムに負荷をかけることなく動作するため、工場環境に適したセキュリティ対策を実現できます。
エンドポイントでのセキュリティ対策
ネットワークに接続される組込機器が増えるにつれて、自動車、自動二輪車、建機・農機、工場装置などの組込機器に対しても情報セキュリティ対策が必要視されており、対応を急ぐお客さまが増えています。当社はIoT製品セキュリティ開発の課題解決や負担軽減を提案し、お客さまにセキュリティプラットフォーム提供、プロフェッショナルサービスを提供するとともに、より安心・安全で快適な社会の実現に貢献していきます。
KinibiはGlobalPlatform(*9)により標準化されたTEEに準拠し、通常のリッチOSが動作するノーマルワールドから分離したセキュアワールドでセキュリティ機能が実行され、デバイス全体のセキュリティを強化します。
Kinibiのシステム構成と特徴
セキュリティ開発が初めてのお客さまに対しては、Kinibi提供だけでなく当社の組込システム開発およびセキュリティ開発の経験を活かした、下記のメニューでプロフェッショナルサービスを提供します。
開発支援メニュー | 内容 |
---|---|
要件定義コンサルティング | セキュリティ機能の要件定義を支援 |
トレーニング | Kinibi導入のためのトレーニングを提供 |
セキュリティ・アプリケーション開発 | セキュティ・アプリケーション開発 (セキュアブート、セキュア認証、DRM、OTAなど) |
保守サポート | 製品保守に必要なサポートをご提案 |