サイバーセキュリティは経営戦略

今回、パナソニックの松本哲也氏が展開した講演のタイトルは「パナソニックのIoTセキュリティについて～パナソニックを守り、それを強み変えるために」──。この演題が示すとおり、松本氏の講演では、自社のブランドと顧客の安心・安全をサイバー攻撃の脅威からしっかりと守り、かつ、強固な守りを製品の付加価値、あるいは競争力の源泉にするという観点から、パナソニックにおけるIoTセキュリティの取り組みが詳しく紹介されました。

言うまでもなく、パナソニックは日本を代表する製造事業者であり、年間約7兆円を売り上げ、グローバルに約24万人の従業員を擁する企業です。現在はカンパニー制を敷き、5つの事業ドメインをアプライアンス社、コネクティッドソリューションズ社、インダストリアルソリューションズ社、オートモーティブ社、ライフソリューションズ社という５つカンパニーがそれぞれ担当しています。

そうした同社にあって製品（製品、サービス、ソリューション）のセキュリティ施策を担っているのが、約100名の人員で構成される製品セキュリティセンターです。

「当社にとってサイバー攻撃は『自然災害／事故』『重大不正』『品質』と並ぶ重大リスクであり、情報システム（IT）と製造システム、製品という3つの領域で施策の整備・強化を進めています。その中で、製品セキュリティセンターでは『リスクの最小化』と『インシデント対応』を、製品の安全・安心と競争力を確保するための2本柱として位置づけています。その方針の下、当センターでは社内外の関係組織と密接に連携しながら、リスクの最小化やインデント対応の取り組みを推進しているほか、2本柱の基礎を成すものとして製品セキュリティ基盤の整備と人材の育成に力を注いでいます」（松本氏）。

製品のセキュリティリスクを出荷前に最小化

松本氏の言う“2本柱”のうち「リスクの最小化」とは、セキュリティ上の脆弱性が混入したまま製品が出荷されるのを阻止する取り組みです。製品出荷前のプロセスである「企画」「設計」「実装」「診断（テスト）」の各段階において「脅威分析」「セキュリティ設計」「セキュアコーディング／静的解析」「セキュリティ診断／製品審査」といった対応策を講じることが全社的なルールとして規定され、遂行されています。 

このうち、セキュリティ診断では、マクニカネットワークスが提供しているファームウェアの自動診断ソリューション「VDOO」を2020年から活用しています。

「VDOOが優れているのは、ファームウェアの脆弱診断だけではなく、ファームウェアのSBOM (ソフトウェア部品表)情報とIoTセキュリティ標準との整合性チェックも自動化できる点です。当社ではその利点を評価し、一般的なペネトレーション検査やファジング検査と併せてVDOOによる診断も展開しています」（松本氏）。

PSIRTでインシデントに対応

一方、製品セキュリティを支える2本柱のもう1つ「インシデント対応」は、出荷後の製品において、万が一のセキュリティインシデントが発生した際に、すみやかな検知／対応／復旧を行うための取り組みを指しています。その実現に向けて、インシデント対応／セキュリティ監視などのサービスが展開されています。

この取り組みにおいて中心的な役割を担っているのが、製品セキュリティセンター内に設置されている「Panasonic-PSIRT（Product Security Incident Response Team）」です。

Panasonic-PSIRTは、製品で発生したインシデントや社外からの脆弱性の指摘に迅速に対応すべく、社内外との連携・調整窓口として機能しています。具体的には、Panasonic-PSIRTが、セキュリティベンダーやソフトウェアベンダー、ISP・通信事業者、大学・研究機関、さらには個人からの脆弱性報告を一括して受け付けます。そのうえで、各カンパニーや海外拠点のIRTと連携しながら、各カンパニーに脆弱性をハンドリングさせ、その対応情報を脆弱性の報告者へ知らせています。ちなみに、そうした脆弱性情報のハンドリング（管理）プロセスの詳細を示すと以下のようになると、松本氏は説明を加えます。

①開発者が開発した製品の情報をSBOM形式でシステム（の製品情報データベース）に登録

②公開脆弱性情報をシステムが自動収集（社内で発見した非公開の脆弱性情報についてはPSIRTがシステムに登録）

③SBOM情報と脆弱性情報の照合により、システムが該当製品を検知

④検知結果を該当製品の開発者にシステムが自動通知

⑤脆弱性対応状況をシステム上で管理

先駆的な技術開発とSOC展開にも注力

松本氏によれば、パナソニックではIoTセキュリティに関してさらに先駆的な取り組みも進めているといいます。一つは「IoT Threat Intelligenceプラットフォーム」の構築であり、もう一つは事業分野別の監視技術開発とIoT-SOC（Security Operation Center）の展開です。

IoT Threat Intelligenceプラットフォームの実現に向けては、家電製品へのサイバー攻撃を観測するためのハニーポットを世界各所に配置し、家電製品を標的にするマルウェアの収集と特徴分析、さらには、その分析結果をIoT製品のセキュリティ強化に生かすといった活動を展開しています。

すでにパナソニックが設置したハニーポットには、2017年11月から20年12月の間で8億件近い攻撃があり、7万1,000強のマルウェア（うち、IoTマルウェアが2万3,000強）が収集できていると松本氏は明らかにし、次のように続けます。

「こうした膨大な数のマルウェアの収集によって、IoT・家電製品のThreat Intelligenceを高めて、防御モジュールの開発などに応用していくつもりです」

一方、監視技術開発とIoT-SOC（Security Operation Center）の展開においては、すでにパナソニック工場のセキュリティ監視（異常監視・検知）を行うSOCを稼働させています。また、ビルオートメーションセキュリティを確保するための取り組みとして、森ビルとともにビル制御コマンドの異常を検知する仕組みの共同研究・実証実験と進めているほか、東京建物とともにビルオートメーションシステムに向けたセキュリティソリューションの実証実験を2020年1月から始動させているといいます。さらに、セキュリティベンダーのマカフィーと共同で車両セキュリティ監視センター（車両）SOCの構築・事業化も計画しています。

「今日、IoTデバイスは膨大な数の攻撃にさらされています。その攻撃に対する防御や対応がしっかりと行えるかどうかは、市場での差異化の大きなポイントになると見ています。これからも、IoTのセキュリティレベルを高める技術の開発と体制づくり、人材育成に力を注いでいくつもりです」（松本氏）

OTへの攻撃を早期に検知し、対処する

実際、OTへの攻撃について言えば、2021年2月には米国の水道施設がサイバー攻撃による被害を受けたほか、5月にはサイバー攻撃（ランサムウェアを使った攻撃）によって食肉加工会社の工場が操業停止に追い込まれています。また、それと同時期に石油パイプラインも同様のサイバー攻撃によって実害を被っています。

このようにOTがサイバー攻撃を受け、工場のラインが長時間にわたって停止に追い込まれると、多大な経済的損失が発生します。また、攻撃によってOT環境がサイバー犯罪者に乗っ取られ、不正な制御が行われ場合、人命にかかわるような事故が引き起こされるリスクもあります。したがって、OTに対する攻撃の検知から対処までのスピードを上げることが強く求められることになります。

そうした課題を解決するソリューションが、FORESCOUTです。このソリューションによってOTネットワーク上で発生している不正な通信を早期にとらえて攻撃を検知し、攻撃の影響範囲をすみやかに特定して被害の拡大を未然に防ぐといった対処が可能になります。

VDOOで社会・暮らしの安心・安全を守る

一方、松本氏の講演でも言及されているとおり、Vdooはファームウェア診断の機能を提供するソリューションであり、IoTデバイスがサイバー攻撃によって実害を被るリスクを低減し、デバイスメーカーが社会や暮らしの安心・安全を守れるようにする仕組みです。ファームウェア診断の機能のほかに、保護エージェントを使い、IoT製品に対する未知の攻撃を検知・ブロックする機能や、IoT製品に新たな脆弱性が見つかった際に、それを通知する機能なども備えています。

OTへの攻撃と同じように、IoTデバイスへの攻撃も人命にかかわるような事態を引き起こしかねない危険なものです。Vdooを使うことでデバイスメーカーは、そうしたリスクを未然に回避する、あるいは大きく低減させることが可能になります。