- 会員限定
- 2021/06/14 掲載
パナソニックPSIRT代表が語る「IoT機器へのサイバー攻撃」、どんな対策をしているのか
年々増加する、IoT機器を乗っ取るサイバー攻撃
林 彦博氏は、製品セキュリティに関する業務に15年以上従事しており、2010年には「Panasonic PSIRT」を創設し、その代表を務める人物だ。セキュリティ診断やリスクアセスメント、グローバルガバナンス、製品のセキュリティ・インシデントといった活動を全社推進し、海外のセキュリティ団体の活動にも参加している。IoT機器を狙ったサイバー攻撃は年々増加傾向にあるとして、林氏はいくつかのデータを示した。2018年の「情報通信研究機構のサイバー攻撃調査(NICTER)」では、観測された攻撃のうち48%がIoT機器を狙ったものだった。
また、カスペルスキー社が発表した「IoT向けマルウェアの観測データ」では、2018年の上半期だけでも2017年全体の3倍以上も増えていると示している。
IoT機器向けの攻撃として林氏は、次のような被害例を挙げた。
- ・FBIが虚偽の緊急事態の通報を受けて出動するスワッティング攻撃
- ・IoT機器を乗っ取ったボットネット攻撃
- ・高齢者が使うスマートウォッチの脆弱性を利用して薬の服用アラートを送り続け、薬を過剰に服用してしまう状態へと導く
このため、IoT製品メーカーへのセキュリティ対応強化も求められている。たとえば、FTC(米連邦取引委員会)が、脆弱性のある家庭用ルーターへの対応が不足しているとしてメーカーを提訴したり、メーカー側でも機器の脆弱性を発見した人に報奨金を支払う取り組み(バウンティプログラム)が行われたり、さらにメーカーとは関係なく、脆弱性発見のコンテストが毎月のように開催されたりと、IoT機器のハッキングが注目されているのだ。
「今後、各国政府・取引先からIoTセキュリティ認証を取得するように要請される動きもあり、各種認証団体の活動も加速しています。各国のIoTセキュリティ関連の法規制も増えて、締め付けが一層厳しくなっている状況です」(林氏)
製品セキュリティの重要要件2つ
パナソニックの顧客向けCSR文書「サスティナビリティ データブック」には、製品開発において、製品セキュリティを確保するために継続的に情報収集すること、社員の教育を行うことが記され、製品の出荷後に脆弱性の問題が生じた場合にも、アップデートなどによってセキュリティの確保を行い、再発防止の取り組みを行うとしている。パナソニックの製品セキュリティの重要な要件として林氏は、「リスクの最小化」と「インシデント対応」の2つを挙げた。どちらにもバランスよく取り組むことによって、製品セキュリティが確保される。
「リスクの最小化」は、製品の出荷前に施されるもの。企画段階でリスクを分析し、設計段階ではセキュリティ要件を盛り込み、実装の段階では解析をし、検証段階では脆弱性の診断をする。パナソニックには社内にホワイトハッカーが存在し、攻撃者と同じ手法やツールで製品の診断を行っている。
同社のIoT製品はハードウェアだけでなく、ソフトウェアも含み、スマートフォンから製品を操作するためのアプリも提供しているので、それらをすべて検証する必要がある。
【次ページ】パナソニックのサイバーセキュリティ体制
関連コンテンツ
PR
PR
PR