IoT機器の脆弱性を3ステップで可視化、キーサイトの検査ツール：サイバー攻撃の増加に備える（2/2 ページ）

[村尾麻悠子，EE Times Japan]

IoT機器の脆弱性を可視化する「IoT Security Assessment」

　KeysightのIoT Security Assessmentは、こうした課題に応え得る製品だ。同ツールはLinux上（Ubuntu上）で動作するソフトウェアで、既知のサイバー攻撃に対する脆弱性をチェックする脆弱性診断の機能と、未知のサイバー攻撃に対する脆弱性をチェックするファジングテストの機能を備える。現在、約250種類の攻撃シナリオに沿ったテストが行える。

　使い方もシンプルで、IoT Security AssessmentをインストールしたLinux PCと、テスト対象のIoT機器をWi-FiやBluetoothなどの無線で接続し、攻撃シナリオを選んで、テストを開始するだけだ。テスト結果は、PCの画面上にレポート形式で表示される。「テスト対象を無線で接続する、シナリオを選ぶ、テストを開始する。この3ステップで簡単に脆弱性をチェックできる」（McGregory氏）

左＝「IoT Security Assessment」の操作画面。シナリオを選んでテストを開始するだけでよい／右＝テスト結果の表示例［クリックで拡大］ 出所：Keysight Technologies

　McGregory氏は、「IoT Security Assessmentは、未知の脆弱性の発見にも貢献している。同ツールで発見したCVE（Common Vulnerabilities and Exposures：共通脆弱性識別子）は40を超える」と述べる。Bluetooth製品の脆弱性である「Braktooth」や「SweynTooth」の発見にも、IoT Security Assessmentが役に立ったと述べた。

IoT Security Assessmentは、多くの既知／未知の脆弱性の発見と評価に貢献しているとMcGregory氏は語った［クリックで拡大］ 出所：Keysight Technologies

　EdgeTech＋ 2023のキーサイトのブースでは、Bluetoothヘッドフォンのセキュリティをテストする様子を披露していた。説明担当者は「IoT Security Assessmentが、特に未知の脆弱性に対して優れている点は、脆弱性を発見できるだけでなく、攻撃を再現できることだ。再現できなければテストを行うことはできないからだ」と語った。

左＝デモの様子。Bluetoothヘッドフォンをテストしていた／中央＝攻撃シナリオの選択画面／右＝発見された脆弱性に関する解説も表示される［クリックで拡大］

　なお、IoT Security Assessmentは、「EdgeTech＋ AWARD　2023」のIoT Technology優秀賞を受賞している。審査委員会は「通信リンク確立後の上位層（TCP/IPやHTTP）だけでなく、物理層に近い、通信リンク確立前のプロセス（認証や暗号化）におけるファジングテストが可能なこと」「REST（Representational State Transfer） API（Application Programming Interface）を活用することでセキュリティテストの自動化を行えること」などを高く評価しているとした。