Service

車載機器脆弱性診断サービス

高い安全性が求められるカーエレクトロニクス分野において、ベリサーブでは車載機器/車載ECUを制御するソフトウェアの脆弱性診断、セキュリティテストを幅広く提供しております。高品質なテスト技術で、安心・安全・快適な自動車づくりに貢献します。

導入メリット

  • POINT1 上流フェーズで脆弱性の作り込みを防ぐことによりプロジェクト全体を効率化できます。
  • POINT2 ITセキュリティと車載セキュリティ、それぞれの要件をくみ取った網羅性の高い脆弱性診断を行います。
  • POINT3 検証のみならず、OEM供給先へのテスト妥当性の報告支援など、安心のトータルサポートを行います。

車載機器脆弱性診断サービスの全体像

自動車において高いセキュリティを実現するためには、開発上流工程から脆弱性を排除することを意識した開発が必要となります。想定される攻撃を洗い出し、攻撃ごとにリスクを分析、影響度に応じた対策を検討いたします。これら対策の実装および妥当性確認を通して、サプライヤー様へ提示するセキュリティ要件・仕様策定、セキュリティ品質評価基準の策定支援を行います。​

脆弱性診断サービス全体像

サービス内容

1.脅威分析・対策検討

2.セキュリティ要件定義・試験計画​

3.試験設計

4.セキュアコーディング準拠支援

5.セキュリティ機能テスト、ペネトレーションテスト、ファジングテスト​

各種セキュリティテストサービス

一般的なテストから、車載機器・車載ECUに求められる特殊なテストまで、 網羅性高くセキュリティテストを実施します。​

脆弱性診断メニュー
テスト区分 内容 内容詳細 ベリサーブの強み
通信する機器に対して行われる一般的なセキュリティテスト 脆弱性スキャン ボートスキャン、セキュリティスキャン 基地局シミュレーターを使用した環境で実施
ファジングテスト 車両外向きI/F(LTE回線)、車両内向きI/F(CAN、Ethernet、USB)
通信の機能/非機能テスト 通信機能テスト 通信の暗号、認証機能の妥当性 独自にPKI基盤環境を構築し、詳細な評価を実現
通信性能テスト 通信スループットの確認
通信周りの機能テスト ペネトレーションテスト 不正な通信を試みた場合、異常検知し、ログを格納することを確認 UDS(車載診断プロトコル)によるログ確認の効率化
ファイアウォールテスト 各種要素の組み合わせによる、通信許可/不許可の妥当性確認
車載ECUで重要な通信周りの機能テスト セキュアブート機能 ソフトウェア改ざんした場合、改ざん検知し、改ざんソフトで起動しないことを確認 実際に改ざんしてみて確認
OTA機能テスト OTA機能の悪用を試みた場合、不正検知し、ソフト更新しないことを確認

セキュリティ診断のプロフェッショナルとして

当社は、経済産業省の情報セキュリティサービス基準に適合するサービスを台帳登録する「情報セキュリティサービス基準審査登録制度」において、情報セキュリティサービス基準審査登録委員会の審査を経て台帳へ登録されました(サービス登録番号:18-0035-20)。​

参照URL https://sss-erc.org/vulnerability

また、同省が情報セキュリティサービス基準にて定める「脆弱性診断サービスの提供に必要な専門性を満たすとみなすことができる以下に例示する内容相当の資格」に記載されている資格を保有するエンジニアにより構成された万全の体制でサービスをご提供いたします。

  • 情報処理安全確保支援士
  • CISA(Certified Information Systems Auditor)
  • CISM(Certified Information Security Manager)
  • CISSP(Certified Information Systems Security Professional)
  • GIAC(Global Information Assurance Certification)
  • CEH(Certified Ethical Hacker)

ベリサーブの実績

カーナビゲーション、ECUをはじめ、車載ソフトウェア分野における多数の実績がございます。また、ニアショアを活用した検証コスト最適化にも取り組んでおります。​

No 対象ドメイン 内容
1
ナビ・IoT機器 Android/Linuxベースの携帯端末に対し、6年にわたりセキュリティテストを行ってきたため、Android/Linuxベースのナビへのナレッジの転用が可能です。LinuxベースのIoT機器のペネトレーションテスト実績も複数社ございます。
2
ECU CAN、JTAGインターフェースに対するセキュリティテスト実績、ECU通信モジュールに対するネットワーク診断・Tier1へのファジングテスト実績がございます。
3
Web/クラウド 200を超えるWebアプリケーションのセキュリティテスト実績がございます。一般的にセキュリティ要件が厳しいと言われる金融系のお客様も数多くおられます。
4
全業種/分野共通 ISO/IEC 15408に準じたセキュリティコンサルティングサービスをご提供いたします(脅威分析、セキュリティ仕様策定支援など)。
5
全業種/分野共通 OSS管理のデファクト製品である、Synopsys社の「Black Duck」の代理店として、オートモーティブ関連では、OEM、ナビメーカー、サプライヤーなどのお客様に対してツール導入と検査サービスの提供実績がございます。
6
全業種/分野共通 CERT C、MISRAなどソースコードまで自社でチェックする数少ないセキュリティ検証ベンダーです。
7
全業種/分野共通 当社のセキュリティチームは、セキュリティ資格保有者のみで構成されております。
(CISSP、CEH、CISA、IPA情報セキュリティスペシャリストなど)

掲載されている製品名、会社名、サービス名、ロゴマークなどはすべて各社の商標または登録商標です。