OWASP IoT セキュリティテストガイドは IoT 分野におけるペネトレーションテストのための包括的な方法論を提供し、IoT 市場における革新と発展に柔軟に適応できるようにすると同時に、テスト結果の比較可能性を確保します。このガイドは IoT デバイスの製造者と運用者、並びにペネトレーションテストチームとの間のコミュニケーションを理解するためのものであり、共通の用語を確立することによって促進されます。
セキュリティ保証とテストカバレッジは、以下の IoT コンポーネントとそれぞれに適用されるテストケースカテゴリの概要で示すことができます。方法論、基礎となるモデル、テストケースのカタログは、個別に使用することも互いに連携して使用することもできるツールを提示します。
-
2.1. IoT デバイスモデル
2.2. 攻撃者モデル
2.3. テスト方法
-
3.1. 処理装置 (ISTG-PROC)
3.2. メモリ (ISTG-MEM)
3.3. ファームウェア (ISTG-FW)
3.3.1. インストール済みファームウェア (ISTG-FW[INST])
3.3.1. ファームウェア更新メカニズム (ISTG-FW[UPDT])
3.4. データ交換サービス (ISTG-DES)
3.5. 内部インタフェース (ISTG-INT)
3.6. 物理インタフェース (ISTG-PHY)
OWASP IoT セキュリティテストガイドで示されているコンセプト、モデル、テスト手順は Luca Pascal Rotsch による修士論文 "モノのインターネット領域におけるデバイスのペネトレーションテストのための方法論の開発 (Development of a Methodology for Penetration Tests of Devices in the Field of the Internet of Things)" に基づいています。
テストケースは以下の公開ソースから派生しています。
- OWASP "Web Security Testing Guide"
- OWASP "Firmware Security Testing Methodology"
- OWASP "Mobile Security Testing Guide"
- "IoT Pentesting Guide" by Aditya Gupta
- "IoT Penetration Testing Cookbook" by Aaron Guzman and Aditya Gupta
- "The IoT Hacker's Handbook" by Aditya Gupta
- "Practical IoT Hacking" by Fotios Chantzis, Ioannis Stais, Paulino Calderon, Evangelos Deirmentzoglou, and Beau Woods
- それぞれのテストケースではほかのソースも参照しています
協力者と支援者にも感謝します (プロジェクト協力者と謝辞 を参照)