ロブステル・セキュリティセンター
グローバルなサイバーセキュリティコンプライアンスを基盤に構築された、設計段階から安全性を考慮したIoTソリューション。
接続デバイスは当然ながらサイバーセキュリティ上の課題に直面しており、強固な保護策が必要です。ロブステルでは、設計から運用に至るまで、ハードウェア、ファームウェア、クラウドサービスにセキュリティを組み込んでいます。本セキュリティセンターでは、当社の基準、テスト、更新手順を概説します:設計段階からのセキュリティ確保、暗号化通信、強固な認証、強化された構成、RCMSによるフリート管理。 当社のプログラムはCRA、NIS2、ISO/IEC 27001、IEC 62443に準拠しています。継続的なセキュリティテストの実施、調整された脆弱性開示プロセスの運用、タイムリーなファームウェア・ソフトウェア更新を提供します。その結果、大規模環境でも信頼できるエンタープライズグレードの保証を実現します。下記のリソース、現在の認証状況、報告チャネルをご覧ください。
ロブステル・サイバーセキュリティ「クイックピッチ」動画
- 認証済みセキュア開発プロセス(IEC 62443-4-1)は、製品の設計、構築、およびテスト方法を規定します。
- 定期的な独立ペネトレーションテストは、RobustOS、RobustOS Pro、およびRCMSを対象とします。エグゼクティブサマリーはNDA下で提供可能です。
- RCMSはMicrosoft Azure上で稼働し、ID管理、データ保護、運用に関する文書化された管理措置を講じています。証拠書類一式はご要望に応じて提供可能です。
- 重要な分野での耐性証明、例えば船舶ブリッジネットワーク向けのIEC 61162-460認証。
- 脆弱性対応の明確化:受付とCVSS評価、修正、公開アドバイザリ(該当する場合はCVE付き)、および予測可能な更新頻度。
要するに、Robustelは監査可能なサプライヤーであり、信頼できるプラットフォームであり、リスク管理およびコンプライアンスチームにとって最適なツールです。
グローバルセキュリティ基準ロブステルは以下に準拠します:
ISO/IEC 27001
情報セキュリティマネジメントシステム(ISMS)
人、プロセス、技術にわたる情報セキュリティ管理のためのリスクベースの枠組み
IEC 62443-4-1
セキュア製品開発ライフサイクル要件
産業製品の安全な設計、実装、試験、リリース、および保守のためのプロセス。
EU CRA
サイバーレジリエンス法
設計段階からのセキュリティ確保、脆弱性対応、およびデジタル要素を含む製品に対するライフサイクル更新義務。
NIS2
ネットワーク及び情報セキュリティ指令2
重要・必須事業体に対するサイバーセキュリティ及びサプライチェーンへの期待の高まり;リスク管理に対するベンダーの支援
EN 18031
無線設備の共通保安要件(第1部~第3部)
REDサイバーセキュリティ基準(インターネット接続デバイス、プライバシー、詐欺対策を含む)
EUCC
EUサイバーセキュリティ認証スキーム(共通基準に基づく)
共通基準に基づくEU認証(定義された保証レベル付き)
英国PSTI
製品セキュリティ及び電気通信基盤法
消費者向けIoTの基礎的な保護対策(固有認証情報、更新ポリシーの透明性、報告)、ETSI EN 303 645に準拠。
IEC 61162-460
海上航行及び無線通信 — 相互接続(安全及び保安)
定義されたセキュリティ対策とテストを備えた、安全で高信頼性の船内ネットワーク(例:操舵室/VDR)。
IACS UR E26/E27
船舶および
搭載システム(統一要件)
船舶サイバーレジリエンス(E26)および船内システム/機器(E27)のクラス規則;型式承認を支援する。
脆弱性報告と対応
脆弱性開示ポリシー(VDP)
ロブステールは、製品とサービスのセキュリティと耐障害性に全力を注いでいます。当社の脆弱性開示ポリシー(VDP)は、研究者、お客様、パートナーの皆様に責任ある形で問題を報告していただくことで、迅速なリスク軽減を実現します。以下のポリシーでは、潜在的な脆弱性の報告方法と当社の対応について説明します。
範囲
本VDPは、公式にリリースされた全てのRobustel製品、ファームウェア、サービス、および当社公式ドメイン下でホストされるウェブアプリケーションを対象とします。当社管理外のサードパーティサービス、当社スタッフ・パートナー・顧客に対するソーシャルエンジニアリング攻撃、または資産・施設への物理的攻撃は対象外です。
脆弱性の報告
潜在的なセキュリティ問題を発見した場合は、セキュリティ報告フォームをご利用ください。製品またはサービス名とバージョン、問題の明確な説明、および可能であれば概念実証または再現手順を含めてください。実際の顧客データの共有は避けてください。編集済みのログやスクリーンショットが望ましいです。
私たちの取り組み
ご報告をいただいてから7暦日以内に確認の連絡を差し上げ、セキュリティチームが問題の調査と検証を行います。重大な脆弱性が確認された場合、90日以内に修正または緩和措置を実施することを目指します。完全な修正にさらに時間を要する場合は、暫定的な保護策を提供します。可能な限り進捗状況をご連絡し、問題が公開される際には、ご同意をいただいた上で公開アドバイザリにおいて貢献者としてクレジットいたします。
Robustel脆弱性
対応プロセス
脆弱性はメールまたはフォームから提出してください。7日以内に確認し、IDを割り当てます。
私たちがテストする理由:お客様が安心して導入できるよう
エッジセキュリティは重要すぎて偶然に任せられません。本セクションでは、Robustelが製品をネットワークに導入する前に実施するテストを段階的に説明します。要件と脅威モデルを実際のテストに変換し、修正を検証し、独立したペネトレーションテストと明確なアドバイザリで結果を実証します。お客様にとっての成果:現場での予期せぬ事態の減少、IT部門やコンプライアンス部門との迅速な承認プロセス、そして大規模展開でも信頼できるプラットフォームです。
1. セキュリティ要件テスト
リリース前には、セキュリティが設計され、実装され、実際の負荷下で安定していることを検証します。各チームは、コアセキュリティ機能、パフォーマンスとスケーラビリティ、エッジ条件、不正な入力、信頼境界をテストし、制御が実験室環境だけでなく負荷下でも機能することを確認します。
2. 脅威モデリングの検証
脅威モデルを具体的な行動に移します。特定された脅威ごとに、緩和策が意図した通りに機能することを検証し、その後攻撃者が使用するのと同じ手法でそれを突破しようと試みます。
3. 脆弱性
発見
攻撃者が行うように弱点を探します。自動および手動のファジング、プロトコル悪用、高負荷シナリオにより全ての外部インターフェースを調査し、攻撃対象領域のレビューでは脆弱なアクセス制御リスト(ACL)、公開ポート、不要な権限で実行されているサービスを特定します。
4. 独立したペネトレーションテスト
外部チームは、修正と再テストの時間を確保できる定期的なスケジュールおよびプロジェクトのマイルストーンにおいて、ブラックボックステストを実施します。発見された問題は、広範なリリース前に優先順位付けされ、緩和策が講じられ、検証されます。
5. 問題文書の発行と評価
確認された問題はすべて、発生時刻、発生場所、影響範囲、および確実な再現手順とともに記録されます。根本原因とユーザーへの影響を分析し、深刻度を割り当て、修正の優先順位を決定します。これにより、最も重要なリスクが最優先で対処されます。
6. 改善と検証
修正は計画とスケジュールに従って実施されます。コード変更はセキュリティレビューを受け、QAが有効性を検証し、関連するセキュリティテストを再実行して、新たな問題を引き起こさずに課題が解決されたことを確認します。
7. リリースと責任ある開示
適切なリリース経路を選択します:通常、暫定、または緊急。セキュリティノートとデプロイメントガイダンスを更新し、開示が適切と判断された場合には、緩和策とタイムラインを記載したアドバイザリを公開します。リリース後のモニタリングにより、現場での安定性を確認します。
8. 継続的改善(
)
私たちはパターンから学びます。発見の傾向が将来の要件、テスト方法、トレーニングを形作ります。機能の進化に伴い脅威モデルが更新されるため、セキュリティ設計は製品と常に整合性を保ちます。
