大手電気安全機器メーカーが抱えていた重大なセキュリティ上の脆弱性を解消するために、当社がどのように支援したか
eInfochipsのCRA評価フレームワークが、AC/DC非接地システム用の絶縁監視装置に潜む脆弱性をどのように発見し、規制の期限が迫る前にコンプライアンス達成に向けた明確なロードマップを提示したかをご覧ください。
主な調査結果と成果:
- CRA付属書の包括的なギャップ分析 — セキュリティアーキテクチャ、脆弱性管理、技術文書およびユーザーマニュアル、適合性評価など、すべてのCRA要件に対して当該デバイスを評価しました 。
- 重大なセキュリティ上の欠陥が判明 — 転送中のデータに対する認証および暗号化が欠如していること 、アクセス制御が不十分であること、DoS攻撃に対する防御策がないこと、およびログ記録や監視機能が一切ないことが判明した 。
- 脆弱性管理上の不備が確認された — CVE開示プロセスの欠如、正式な脆弱性開示および更新ポリシーの未策定、ならびにバイナリスキャンおよび侵入テストの実施範囲が限定的であることが判明した 。
- ドキュメントの準備状況の評価 — CRA準拠に必要な、ソフトウェアバージョンの詳細情報の欠落、サポートドキュメントの不備、および使用目的に関する定義が不明確なドキュメントを特定しました 。
- 実践的なコンプライアンス・ロードマップの提供 — デフォルトの製品カテゴリ分類を含む詳細なギャップ分析レポートを提供し 、クライアントがCRAへの対応準備を整えるための、優先順位が明確な道筋を示しました。