パナソニック Covid-19から人間を守るようにIoTデバイスを免疫
パナソニックは、自社製品でIoTハニーポットを作成することで最新の脅威をキャッチし、製品の脆弱性にパッチを当てている。
製品出荷後もマルウェアから守ることが重要
インターネット・オブ・シングス(IoT)・デバイスは、10年以上にわたってセキュリティ問題や未修正の脆弱性に悩まされ、ボットネットに拍車をかけ、世界中の基幹ネットワークや個人ユーザーを危険にさらしてきた。しかし、多くのメーカーは、その慣行を改善し、レベルを上げるために投資するのが遅れている。最近、ラスベガスで開催されたBlack Hatセキュリティ・カンファレンスで、パナソニックの研究者は、自社製品がどのように攻撃されているかに関するデータを収集・分析する5年間のプロジェクトに基づき、IoT防御を改善するための同社の戦略を発表した。
研究者たちは、パナソニック製の家電やその他のインターネット接続された電子機器を使用してハニーポットを作成し、その機器を悪用する世界中の攻撃者をおびき寄せた。こうすることで、パナソニックは現在流行しているマルウェアを捕捉し、分析することができる。パナソニックは、このようなIoT脅威インテリジェンス作業はレガシーメーカーでは珍しいが、パナソニックは、業界が製品全体の最新の脅威に関するより広範な見解をまとめ始めることができるように、調査結果を共有し、他の企業と協力したい。
「攻撃サイクルは高速化しています。そしていま、マルウェアはますます複雑化しています。従来、IoTマルウェアはシンプルなものでした。われわれが最も恐れているのは、最先端のマルウェアがIoTも標的にすることです。ですから、製品出荷後もマルウェアから守ることが重要なのです」と、パナソニックは語る。
Covid-19から人間を守るようにIoTデバイスを免疫
パナソニックは、脅威を追跡して対策を開発する取り組みを、仏教の鬼神である「阿修羅」と「脅威インテリジェンス」の合成語である「Astira」と呼んでいる。
Astiraからの洞察は、Threat Resilience and Immunity Module(Threim)と呼ばれるIoTセキュリティ・ソリューションに反映され、パナソニックのデバイス上でマルウェアの検出とブロックに取り組んでいる。ARMプロセッサを搭載したパナソニック製品を分析したところ、Astiraハニーポットから得られた1,800のマルウェアサンプルに対するマルウェア検出率は約86%だった。
「Covid-19の感染から人間を守るように、私たちはこの技術を使ってIoTデバイスを免疫しています。これらのマルウェア対策機能は内蔵されており、インストールは不要で、非常に軽量です。デバイス自体の能力には影響しません」と、パナソニックは語る。
自社製品のセキュリティ戦略を策定するのはメーカーの責任
IoTデバイスにパッチをプッシュする機能は重要であり、業界全体では不足しがちな機能だと強調する。しかし、パナソニックはファームウェアのアップデートがIoTのセキュリティ問題に対処するための実現可能な解決策とは必ずしも考えていないと指摘する。というのも、パナソニックの見解では、エンドユーザーは、組み込み機器にアップデートをインストールする必要性について十分な教育を受けておらず、また、すべてのアップデートがユーザーの関与なしに自動的に配信されるわけではないからだ。
このため、パナソニックのアプローチでは、パッチを出荷する際にマルウェアの検出と防御を組み込んでいる。
パナソニックは、IoTの防御をサードパーティのセキュリティ・ソリューションに頼るのではなく、自社製品のセキュリティ戦略を策定するのはメーカーの責任だと考えている。こうすることで、ベンダーは製品の設計と直面する脅威に基づいて、各製品の「妥当なセキュリティ・レベル」を決定することができるという。また、独自のソリューションをすぐに導入することで、メーカーは企業秘密を外部の組織と共有する必要がなくなるという。
IoT向けの脅威インテリジェンス機能
こうしたセキュリティ・ソリューションを開発・提供する責任は、メーカー自身が負わなければなりません。すべてを自分たちでやるとは言いませんが、サードパーティのセキュリティ・ソリューション・ベンダーとしっかり協力する必要があります。なぜビルトインにするかというと、デバイスの内部には秘密があり、それをオープンにする必要がないからです。ブラックボックスのままでも、セキュリティを提供することができるのです。
IoT向けの脅威インテリジェンス機能を開発することは、デバイス全体の防御状態を改善する上で極めて重要なステップである。しかし、IoTのブラックボックス・モデルである「無名によるセキュリティ」に対して長年憤慨してきた独立系セキュリティ研究者たちは、パナソニックの戦略を問題視するかもしれない。