危機管理室の吉本です。

CODE BLUE 2024の以下のセッションについてレポートをまとめます。

［パナソニック ホールディングス株式会社］Panasonic IoT Threat Intelligence "ASTIRA"とその活用事例：車載ソフトウェア脆弱性分析ソリューションVERZEUSE® for SIRT

当社では、製品ライフサイクル全体にわたってセキュリティ活動を継続的にアップデートすることを目的としたエコシステム「ASTIRA」を構築し、ASTIRAから得られたデータとその分析結果を製品ライフサイクルの各フェーズに組み込み、製品のセキュリティを強化しています。 活用事例として「VERZEUSE® for SIRT」を紹介します。「VERZEUSE®for SIRT」は、車両に搭載されているソフトウエアを対象に、出荷後に発見された脆弱性のセキュリティリスクを車両レベルで分析し、対応優先度を判定するソリューションです。リスク分析や脆弱性対応の時間を大幅に削減することを目指しています。

Presented by : Shoichiro Sekiya 関屋 翔一朗 Yosuke Tshuchiya 土屋 遥亮 Takamitsu Sasaki 佐々木 崇光 Panasonic Holdings Corporation

レポート

• 製品セキュリティセンターでは、事業部門に対してセキュリティに関するサポートを提供
• IoT機器への攻撃が増加
• IoT機器のマルウェア感染状況
  • 2021年2.2万件から2024年14.5万件へ増加
• IoTマルウェアとして武器化され狙われる可能性
  • 攻撃サイクルの加速（脆弱性公開の2日後に武器化）
• 各国の製品セキュリティの強化
  • IoT機器に対する法規制が導入されつつある
    • U.S. Cyber Trust Mark
    • EU Cyber Resilience Act
    • IoTセキュリティ適合性評価制度
• 出荷後の製品セキュリティの重要性
  • 製品ライフサイクルの中で、出荷後から攻撃手法の洗練化もありセキュリティ強度が劣化してしまう
• ASTIRAとは
  • ASURA（阿修羅）＋TI（Threat Inteligence）
  • Panasonicの家電を利用し世界中からの攻撃をリアルタイムで観測する
• 攻めのセキュリティの実現
  • 製品ライフサイクル全体でセキュリティ対策をする
  • ハニーポットで脅威情報を収集
  • 出荷前、出荷後のセキュリティ対策
• ASTIRA活動の狙い
  • 出荷前から出荷後までのセキュリティ強化
• データ活用事例
  • グループ会社全体に観測概況法報告レポートを公開
  • 収集したIoTマルウェアを活用し、機器の乗っ取りを防御するモジュール（THREIM）を開発
  • 社内外組織との連携
    • 送信元IPアドレス、悪用されたエクスプロイトなどを提供
  • インシデント脆弱性指摘が発生した際に、リスク判断のための攻撃情報を提供
• ASTIRAの今後の取り組み
  • 出荷後製品への定期的な脆弱性診断
    • 効率化のため、必要な診断項目のみを診断
    • 診断項目の判断に、ASTIRAの攻撃トレンドを活用
  • 事業会社とのより密な連携体制の構築
    • ASTIRAの収集データを活用し、社内の各事業領域におけるセキュリティ活動に貢献
• 前半まとめ
  • 製品セキュリティセンターでは自社家電のハニーポット運用でデータ収集
  • ASTIRAのデータ活用事例として、前述の4つ
  • 今後、脆弱性診断の効率化や連携が求められる
• 車両脆弱性ソリューションVERZEUSE for SIRTの活用
  • ASTIRAを活かしたSIRT効率化
• パナソニックオートモーティブシステム株式会社とは
  • パナソニックグループの家電やデジタルAVの知見を活かし、ひとやくらしに寄り添って、新たなモビリティの体験の想像を目指す
  • 製品はカーナビ、車載カメラ、フルディスプレイメーターなど（一部）
• 脆弱性監視の背景
  • 自動車において、脆弱性監視・対応は必須
  • ISO/SAE21434において、車両出荷後の継続的な脆弱性監視・対応が求められる
  • 報告される脆弱性の数は年々増加
  • 車載ソフトウェア規模も増大
    • SDV化に伴い、車両搭載のソフトウェアの増大が見込まれる
    • OSS数や種類も増加の見込み
  • SDV化に向けて、分析対処の脆弱性がますます増加
    • 報告される脆弱性も、搭載するOSSも
• 脆弱性監視の課題
  • 監視体制の例
    • SBOM管理・監視ツールが脆弱性情報を取得し、該否判定をし、PSIRTがリスク判定する
    • この体制ができつつある
    • 脆弱性情報：該当するソフトがあるか
    • 該否判定：詳細分析が必要か
    • リスク判定：ECUサプライヤPSIRTでの詳細分析
  • 脆弱性数の増加により、すべての対応が増加する
  • これにより、高リスクへの対応が遅れるリスクがある
  • このリスクへの対応の取り組みをしている
• 脆弱性監視の効率化
  • 分析数の増加に対して、自動化により1件当たりの対応時間を短縮
  • 分析依頼数の増加に対して、適切な優先度により分類
  • VERZEUSE®for SIRTにより、優先的に対応すべき脆弱性を判断
  • これによりPSIRTのコスト削減と、対応の遅れによる重大インシデント発生を抑制
  • 従来はECUのリスク分析結果に依存していた
  • 車両レベル（ECUの接続関係）を考慮したリスク分析により、実態に合った優先順位を決定
  • ASTIRAの活用による効率化
    • 連携例：脆弱性のExploit方法の攻撃前後の攻撃頻度の変化から対応優先度を判断
• パナソニックグループの取り組み
  • VERZEUSE®では車載セキュリティのライフサイクル全体でセキュリティ対策を実施
• まとめ
  • SDVの進展で、車載ソフトウェアの脆弱性件数は増加傾向
  • SIRTの役割は重要
  • 車両の脆弱性リスクを評価する仕組みが必要
  • パナソニックグループでは車両のライフサイクル全体でセキュリティ対策を実施

感想

• 大規模なIoTの情報収集が他の事業分野に活用できることがわかりました
• 他の講演でもテーマとなっている脆弱性管理の効率化は重要なテーマだと改めて思いました