OWASP IoT セキュリティテストガイド

OWASP IoT セキュリティテストガイド (OWASP IoT Security Testing Guide)

OWASP IoT セキュリティテストガイドは IoT 分野におけるペネトレーションテストのための包括的な方法論を提供し、IoT 市場における革新と発展に柔軟に適応できるようにすると同時に、テスト結果の比較可能性を確保します。このガイドは IoT デバイスの製造者と運用者、並びにペネトレーションテストチームとの間のコミュニケーションを理解するためのものであり、共通の用語を確立することによって促進されます。

セキュリティ保証とテストカバレッジは、以下の IoT コンポーネントとそれぞれに適用されるテストケースカテゴリの概要で示すことができます。方法論、基礎となるモデル、テストケースのカタログは、個別に使用することも互いに連携して使用することもできるツールを提示します。

コンポーネント概要

• 🔔OWASP ISTG を読むにはここをクリック 📖📚🔔
• ✅ 最新のISTG チェックリストを入手する✅
• 📝 🔍 ISTG に貢献する

目次

1. はじめに
2. IoT セキュリティテストフレームワーク

   2.1. IoT デバイスモデル

   2.2. 攻撃者モデル

   2.3. テスト方法
3. テストケースカタログ

   3.1. 処理装置 (ISTG-PROC)

   3.2. メモリ (ISTG-MEM)

   3.3. ファームウェア (ISTG-FW)

   3.3.1. インストール済みファームウェア (ISTG-FW[INST])

   3.3.1. ファームウェア更新メカニズム (ISTG-FW[UPDT])

   3.4. データ交換サービス (ISTG-DES)

   3.5. 内部インタフェース (ISTG-INT)

   3.6. 物理インタフェース (ISTG-PHY)

   3.7. 無線インタフェース (ISTG-WRLS)

   3.8. ユーザーインタフェース (ISTG-UI)

関連作品

OWASP IoT セキュリティテストガイドで示されているコンセプト、モデル、テスト手順は Luca Pascal Rotsch による修士論文 "モノのインターネット領域におけるデバイスのペネトレーションテストのための方法論の開発 (Development of a Methodology for Penetration Tests of Devices in the Field of the Internet of Things)" に基づいています。

テストケースは以下の公開ソースから派生しています。

• OWASP "Web Security Testing Guide"
• OWASP "Firmware Security Testing Methodology"
• OWASP "Mobile Security Testing Guide"
• "IoT Pentesting Guide" by Aditya Gupta
• "IoT Penetration Testing Cookbook" by Aaron Guzman and Aditya Gupta
• "The IoT Hacker's Handbook" by Aditya Gupta
• "Practical IoT Hacking" by Fotios Chantzis, Ioannis Stais, Paulino Calderon, Evangelos Deirmentzoglou, and Beau Woods
• それぞれのテストケースではほかのソースも参照しています

協力者と支援者にも感謝します (プロジェクト協力者と謝辞 を参照)