年々増加する、IoT機器を乗っ取るサイバー攻撃

　林 彦博氏は、製品セキュリティに関する業務に15年以上従事しており、2010年には「Panasonic PSIRT」を創設し、その代表を務める人物だ。セキュリティ診断やリスクアセスメント、グローバルガバナンス、製品のセキュリティ・インシデントといった活動を全社推進し、海外のセキュリティ団体の活動にも参加している。

　IoT機器を狙ったサイバー攻撃は年々増加傾向にあるとして、林氏はいくつかのデータを示した。2018年の「情報通信研究機構のサイバー攻撃調査（NICTER）」では、観測された攻撃のうち48％がIoT機器を狙ったものだった。

　また、カスペルスキー社が発表した「IoT向けマルウェアの観測データ」では、2018年の上半期だけでも2017年全体の3倍以上も増えていると示している。

　IoT機器向けの攻撃として林氏は、次のような被害例を挙げた。


　このため、IoT製品メーカーへのセキュリティ対応強化も求められている。たとえば、FTC（米連邦取引委員会）が、脆弱性のある家庭用ルーターへの対応が不足しているとしてメーカーを提訴したり、メーカー側でも機器の脆弱性を発見した人に報奨金を支払う取り組み（バウンティプログラム）が行われたり、さらにメーカーとは関係なく、脆弱性発見のコンテストが毎月のように開催されたりと、IoT機器のハッキングが注目されているのだ。

「今後、各国政府・取引先からIoTセキュリティ認証を取得するように要請される動きもあり、各種認証団体の活動も加速しています。各国のIoTセキュリティ関連の法規制も増えて、締め付けが一層厳しくなっている状況です」（林氏）

製品セキュリティの重要要件2つ

　パナソニックの顧客向けCSR文書「サスティナビリティ データブック」には、製品開発において、製品セキュリティを確保するために継続的に情報収集すること、社員の教育を行うことが記され、製品の出荷後に脆弱性の問題が生じた場合にも、アップデートなどによってセキュリティの確保を行い、再発防止の取り組みを行うとしている。

　パナソニックの製品セキュリティの重要な要件として林氏は、「リスクの最小化」と「インシデント対応」の2つを挙げた。どちらにもバランスよく取り組むことによって、製品セキュリティが確保される。

　「リスクの最小化」は、製品の出荷前に施されるもの。企画段階でリスクを分析し、設計段階ではセキュリティ要件を盛り込み、実装の段階では解析をし、検証段階では脆弱性の診断をする。パナソニックには社内にホワイトハッカーが存在し、攻撃者と同じ手法やツールで製品の診断を行っている。

　同社のIoT製品はハードウェアだけでなく、ソフトウェアも含み、スマートフォンから製品を操作するためのアプリも提供しているので、それらをすべて検証する必要がある。


【次ページ】パナソニックのサイバーセキュリティ体制