IoT の時代、セキュリティ対策はクラウドやサーバーなどを対象とすればいいわけではない。スマホはおろか家電や自動車までインターネットにつながっている。IT 企業ならずともセキュリティ対策を考えなければならない。
家電メーカーのうちパナソニックが新しい取り組みを行っている。開発中の製品を含む展示を行うショールームにハニーポットをしかけ、実際の攻撃やマルウェアを分析し、それを製品開発や出荷後のアップデートやセキュリティ対策に役立てるというもの。
本稿は BlackHat USA 2023 取材記事の蔵出しレポート記事である。
● パナソニックのIoTセキュリティのアプローチ
IoT 製品は、個人や企業の PC よりも攻撃者の標的となっている。PC よりセキュリティ対策が進んでおらず、かつ世界中に無数にあふれているからだ。ボットネットを作るにもカメラやコピー機、家電製品を使ったほうが効率が良い。パナソニックは白黒(物)家電から自動車部品、バッテリーや FA など、手掛ける IoT 製品は多岐にわたる。IoT セキュリティ、プロダクトセキュリティは大きな課題となっているという。
とくに問題なのは、製品出荷後のセキュリティだ。機能が変わらなくてもマルウェアや攻撃手法が増えていく。アップデート機能が装備された製品も出てはいるが、変化が激しく対策が追い付かない場合がある。出荷後の製品セキュリティレベルが相対的に落ちていく。
製品開発・製造に加えて出荷後のセキュリティをどう担保するか。パナソニックではこの課題に対して 2 つのアプローチをとった。ひとつは「開発から製造までのセキュリティ」、もうひとつは「出荷後のセキュリティ」と分けて考える。
前段部分は、製品に関連する脆弱性やマルウェアの情報を大量かつ迅速に集める必要がある考えた。マルウェアの開発スピードは年々短縮してきている。これらを効率よく解析できれば、製品の設計段階から対策を組み込んだり、品質テストにも活用できる。
出荷後の対策は、製品にアップデート機能と対策エージェントを活用する。アップデート機能は出荷後に発見された脆弱性やマルウェアへの対策に不可欠だ。できればリモートアップデートできる形が望ましい。それだけでは不十分なので、可能なかぎり製品自体にもセキュリティ機能を実装する。軽量なエージェントプログラムでマルウェアの検知や駆除を行う。
● 製品ショールームを利用したハニーポットと脅威インテリジェンス
「ASTIRA」は上記の製品セキュリティを実現するためのプロジェクトだ。ASTIRA の語源は「ASURA(阿修羅)」だという。頭が 3 つ、手が 6 本ある鬼神で、仏教では釈迦を守る闘いの神とされ、3 人分の手・目・耳でサイバー攻撃から守るという意味がある。ASURA に脅威インテリジェンス(Threat Intelligence)の機能を加えたものとして「ASTIRA」と命名した。
ASTIRA プロジェクトでは、データ収集、マルウェア収集にハニーポットを利用する。ハニーポットの設置場所は、日本と台湾にある製品ショールームだという。ショールームには、開発中の製品を含め多数の IoT 製品が展示されている。センサーとなるハニーポットデバイス以外に影響がでないよう、セキュリティ対策を厳重に施す。その上で機器の IP アドレスをインターネットにあえて公開した。
