サービス特性に合わせた脅威べースのペネトレーションテスト
- 株式会社ソラコム
IT Security Officer 高橋真幸 様
IoTの「つなぐ」を簡単にというコンセプトで2015年の創業以来、
様々なIoTプラットフォームを提供している株式会社ソラコム。
サービスの導入企業は2万ユーザーを超え、契約回線数は400万回線にも及びます。
今回は新しくリリースしたセキュアリンクサービス「SORACOM Arc」に対して
ペネトレーションテストを実施させて頂きました。
※SORACOM Arc
2021年発表。兼ねてから同社がご提供されていたセルラー通信やLPWAでの通信に加えWi-Fや衛星通信といった任意のIPネットワークからもTプラットフォームSORACOMをご利用いただけるサービスです。
ペネトレーションテストの必要性を感じたきっかけを教えてください。
当社はIoTプラットフォームを提供しています。”モノ”はそのままではインターネットにつなげることができません。インターネットと”モノ”をつなげるためには”モノ”側に追加の設定・開発が必要となります。当社が提供するIoTプラットフォームをご活用いただくことで、”モノ”へ複雑な追加開発をしなくても、簡単でスピーディーにIoT化をすることが可能です。
これまでのSORACOMではセルラー通信を経由していました。今回新しくリリースしたSORACOM Arcでは任意のIPネットワークから SORACOMをご利用いただけるようになります。SORACOM Arcが、SORACOMに対して新しいアクセスポイントになるため、社内でのテストに加えて第三者によるセキュリティ評価を積極的に実施した方が良いという判断になりました。
SORACOMをご利用いただくお客様は年々増えており、いまでは400万以上のIoTデバイスが当社のプラットフォームとつながっています。より安全なプラットフォームにするためにはセキュリティリスクとしてインパクトが大きいと想定される変更は、第三者評価を積極的に活用するという社内認識が進んでいたという背景もあります。
社内でセキュリティに対する取り組みを十分にしていたとしても、お客さまに対しての説明は主観的になってしまいます。安心してご利用いただくためにも外部の目を入れるというのは重要だと考えています。
今回の実施について懸念や期待はございましたか
一般的なセキュリティリスクを網羅的に見るのではなく、当社にとってより脅威となるような診断観点で深くまで見ていただきたいという目的がありました。実際に攻撃者の視点で攻撃をしかけることで、通常のツール診断では気づけないリスクについて評価したいと考え、ブラックボックス型のペネトレーションテストをお願いしました。
このようなマニュアルでの診断は、担当していただくセキュリティエンジニアの知見や技術的スキルによって結果が大きく左右されると思っています。きちんと実績のあるエンジニアに調査していただけるのかという点が検討のポイントでした。
弊社をご選定いただけた理由を教えてください
以前から私自身、そして社内でも複数名のエンジニアがイエラエの名前を知っており、脆弱性診断を専門に行う企業という認識がありました。ペネトレーションテストは診断員の技術力に結果が大きく左右されるため、お願いする際は診断員の方の実績を重視しています。実際にどのような方が診断されるか、打ち合わせの中でも繰り返し確認させていただきましたが、CTFほかハッキングコンテストやバグバウンティなどで名前を聞いたことがあるエンジニアの方々に打ち合わせに参加していただき、実際にチームとして体制ができていると感じられました。
ペネトレーションテストの"効果"はいかがでしたか
SORACOM Arcは新しいコンセプトのサービスのため、正しくアーキテクチャやビジネスモデルを理解していただけるか心配でしたが、深く理解したうえで診断をしていただけたと感じています。ツールでは見つけられない自分たちのサービスの特性に合わせた脆弱性のご指摘をいただき、実施をしてよかったと思いました。
また最終報告書だけでなく、診断期間中も気になった点を適宜ご共有いただき、その中で脆弱性につながりそうな不要なコンポーネントやサブドメインの存在についても、ご指摘いただいた点は高く評価しています。こちらで事前に見つけられたはずの指摘もあり、自分達でできるところは評価対象としてテストすることを認識できました。また実績のある御社に診断いただいたことで安心感も得られました。
※今回は侵入可能な経路がないか探索する目的でOSINT(Open Source Intelligence:オープンソースインテリジェンス)の手法を用いてコンポーネントやサブドメインの探索をおこないました。
弊社への今後のご期待・ご要望がございましたら、お聞かせください
今回のような侵入テストを実施するタイミングは、私たちのプラットフォームに新たな脅威の侵入口となるような新規アクセスポイントが増える、または大きな機能改修が入るタイミングだと考えています。また効果のあるセキュリティ診断を継続的に行うという観点では、当社としても今後バグバウンティ制度の構築やレッドチームの導入も検討しています。客観的な評価に基づいたソラコムプラットフォームの健全性を公開したいと考えているため、良い評価指標について調査を進めているところです。貴社による侵入テスト結果も評価指標の一つになると考えていますので、また相談させていただこうと思います。
<イエラエコメント>
ソラコム様は「テクノロジーの民主化」を目指して、新しい技術を積極的にサービスに組み込んでいます。いろいろなサービス、テクノロジーを展開するなかでアプリケーション、デバイス、ネットワーク、クラウド、などチェック対象も広範囲になり、求められるセキュリティテストのレベルもより高度になっていくと考えています。最新のテクノロジーに対し最新かつ最強のセキュリティ技術で、これからもサービスを提供いたします!
| 会社名 | 株式会社ソラコム |
| 事業内容 | IoTプラットフォームSORACOMを通じてIoT通信(セルラー通信、LPWA)とインターネットに「つなぐ」システム構築に必要なサービスを提供しています。少ない初期費用でIoT活用のアイデアをスピーディに実現でき、20,000超の様々な業界・規模のお客さまがビジネスの進化にSORACOMを利活用しています。 |
| URL | https://soracom.jp/ |
