CEC、手動・自動の両診断を組み合わせたIoT機器専用の簡易脆弱性診断サービスを提供

　株式会社シーイーシー（以下、CEC）は22日、トータルセキュリティソリューションブランド「Cyber NEXT」で提供している「脆弱性診断サービス」において、IoT機器専用の簡易脆弱性診断サービス「IoT機器診断」を提供開始すると発表した。

　「IoT機器診断」は、IoT機器のセキュリティ診断に特化したサービス。診断項目をIoT機器のセキュリティ評価制度の技術要件部分に絞ることで、IoT機器の診断メニューの低コスト化を実現したという。

　サービスでは、短期間で多くの検出が可能な自動診断と、セキュリティのプロによるポイントを押さえた手動診断を組み合わせ、診断項目の特徴に合わせて診断方法を使い分けることで、低コストながらも網羅的な診断が可能。また、レポート報告時に脆弱性の深刻度に合わせた対策方法を提供するとのこと。

　加えて、重要度の高い脆弱性が発見された場合、利用企業側による是正処置後に再診断が可能（3カ月以内、1回のみ）。再診断後もレポート報告を実施するため、是正処置の効果確認にも活用できるとした。

　標準診断カテゴリーは、以下の通り。

・セキュリティ推奨基準に基づく設計書・機能動作のチェック
・ファームウェア解析
・ネットワークスキャン
・プラットフォーム脆弱性の検査

　なおサービスは、IPAの「JC-STAR」、CCDSの「サーティフィケーションプログラム」という2つの制度に共通する、最低限のIoT機器セキュリティ要件に対応する。こうして、複数の制度を基準としていることで、セキュリティ対策が一定の基準を満たしているかどうかを確認可能なだけでなく、認証取得の申請にも活用できるとしている。

　価格は、IPアドレスを持つIoT機器1台あたり110万円（税込）から。ソースコード解析、バイナリー解析、ハードウェア解析、ファジングなど標準診断カテゴリー以外の診断は、個別見積もりにて対応する。