開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2021/06/14

パナソニックPSIRT代表が語る「IoT機器へのサイバー攻撃」、どんな対策をしているのか

超スマート社会(Society 5.0)の実現に向けて、多数のIoT製品が登場している。製造業にはIoT製品に対するセキュリティ強化が求められており、製品開発のプロセスだけでなく、製品ライフサイクルの過程において、さまざまな取り組みがなされている。パナソニックで製品セキュリティグローバル戦略部 部長を務める林 彦博氏が、製品セキュリティが必要とされる背景と自社の取り組みを解説した。

画像
パナソニック
製品セキュリティセンター 製品セキュリティグローバル戦略部 部長
林 彦博氏


年々増加する、IoT機器を乗っ取るサイバー攻撃

 林 彦博氏は、製品セキュリティに関する業務に15年以上従事しており、2010年には「Panasonic PSIRT」を創設し、その代表を務める人物だ。セキュリティ診断やリスクアセスメント、グローバルガバナンス、製品のセキュリティ・インシデントといった活動を全社推進し、海外のセキュリティ団体の活動にも参加している。

 IoT機器を狙ったサイバー攻撃は年々増加傾向にあるとして、林氏はいくつかのデータを示した。2018年の「情報通信研究機構のサイバー攻撃調査(NICTER)」では、観測された攻撃のうち48%がIoT機器を狙ったものだった。

 また、カスペルスキー社が発表した「IoT向けマルウェアの観測データ」では、2018年の上半期だけでも2017年全体の3倍以上も増えていると示している。

 IoT機器向けの攻撃として林氏は、次のような被害例を挙げた。

  • ・FBIが虚偽の緊急事態の通報を受けて出動するスワッティング攻撃
  • ・IoT機器を乗っ取ったボットネット攻撃
  • ・高齢者が使うスマートウォッチの脆弱性を利用して薬の服用アラートを送り続け、薬を過剰に服用してしまう状態へと導く

 このため、IoT製品メーカーへのセキュリティ対応強化も求められている。たとえば、FTC(米連邦取引委員会)が、脆弱性のある家庭用ルーターへの対応が不足しているとしてメーカーを提訴したり、メーカー側でも機器の脆弱性を発見した人に報奨金を支払う取り組み(バウンティプログラム)が行われたり、さらにメーカーとは関係なく、脆弱性発見のコンテストが毎月のように開催されたりと、IoT機器のハッキングが注目されているのだ。

「今後、各国政府・取引先からIoTセキュリティ認証を取得するように要請される動きもあり、各種認証団体の活動も加速しています。各国のIoTセキュリティ関連の法規制も増えて、締め付けが一層厳しくなっている状況です」(林氏)


製品セキュリティの重要要件2つ

 パナソニックの顧客向けCSR文書「サスティナビリティ データブック」には、製品開発において、製品セキュリティを確保するために継続的に情報収集すること、社員の教育を行うことが記され、製品の出荷後に脆弱性の問題が生じた場合にも、アップデートなどによってセキュリティの確保を行い、再発防止の取り組みを行うとしている。

 パナソニックの製品セキュリティの重要な要件として林氏は、「リスクの最小化」と「インシデント対応」の2つを挙げた。どちらにもバランスよく取り組むことによって、製品セキュリティが確保される。

 「リスクの最小化」は、製品の出荷前に施されるもの。企画段階でリスクを分析し、設計段階ではセキュリティ要件を盛り込み、実装の段階では解析をし、検証段階では脆弱性の診断をする。パナソニックには社内にホワイトハッカーが存在し、攻撃者と同じ手法やツールで製品の診断を行っている。

 同社のIoT製品はハードウェアだけでなく、ソフトウェアも含み、スマートフォンから製品を操作するためのアプリも提供しているので、それらをすべて検証する必要がある。

画像
企画から廃棄まで、製品セキュリティを確保する取り組みがなされている

【次ページ】パナソニックのサイバーセキュリティ体制

セキュリティ総論 ジャンルのセミナー

セキュリティ総論 ジャンルのトピックス

セキュリティ総論 ジャンルのIT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!