[レポート][パナソニック株式会社]『PSIRTが築くIoT社会の製品セキュリティ』 – CODE BLUE 2021 #codeblue_jp

CODE BLUE 2021で行われた「[パナソニック株式会社]『PSIRTが築くIoT社会の製品セキュリティ』」というセッションのレポートです。
2021.10.19

こんにちは、臼田です。

今回はCODE BLUE 2021で行われた以下のセッションのレポートです。

[パナソニック株式会社]『PSIRTが築くIoT社会の製品セキュリティ』

Panasonic PSIRTは昨年2020年で10周年を迎え、CODE BLUE 2020では非公式セッションとして、"Panasonic PSIRT 10周年シンポジウム"を開催させて頂きました。 それから一年、東京オリンピック・パラリンピック競技大会を乗り越え、コロナ禍とうまく付き合いながら、新しく楽しい取り組みを常に目指しています。今回の講演では、Panasonic PSIRTの有志一同で、これから先の製品セキュリティにおいて、どのような取り組みを進めていくべきか、パネルディスカッション形式でお話しさせて頂きます。

Presented by : Panasonic PSIRT有志一同

レポート

  • どうやってセキュリティの世界を楽しんでいくかとかを話したい
  • 最初にパナソニックの話
    • 家電
    • 住宅
      • 家電と連携とか
      • 発電とか
    • 自動車
      • カーナビや車載機器
    • B2B
    • 製品セキュリティセンターでは全て見ている
    • 共通するのは「つながる」
    • 暮らしをどんどんアップデートする
  • パナソニックのセキュリティの取組み
    • お客様とのものはESG(環境・社会・ガバナンス)
    • 人材育成
      • 公開研修
      • OJT
      • 啓発
    • モノに対して
      • 出荷前
      • 出荷後
    • 出荷前は色々できる
      • 設計
      • 脅威分析
      • セキュアコーディング
      • 脆弱性診断など
    • 出荷後のインシデント対応の体制を作っている
    • 脆弱性診断
      • 攻撃者と同じ条件、あるいはより有利な条件で検証
    • インシデント対応
      • カンファレンス・ML・SNS・ブログなどから収集
      • 各部署に調整、優先度の設定など
    • PSIRTの業務
      • 情報収集
        • パナソニックだけではなくチップメーカーなども
      • 届出・相談対応
        • ホワイトハッカーやJPCERTなど
      • 関係者との良好な関係構築
        • いきなり脆弱性あるから直してではうまく行かない
        • 攻撃者の人とも良好な関係が必要
      • インシデントがなければ通常業務をする
        • インシデントがあるとバーチャルチームで対応
  • PSIRTの次の取り組み
    • IoTセキュリティ進化をトラック
    • 製品セキュリティにおける課題
      • セキュアな冷蔵庫を買うか?
      • まだあまりそういう流れにはない
      • 安価でセキュリティをケアしないといけない
      • 個々の製品ではなく全体を把握するプラットフォームを作っている
      • ASURAという
    • ASURAによるIoT脅威情報収集・分析
      • IoTマルウェアも沢山収集している
      • 攻撃も見えるように
  • 前置きはここまででパネルに移る
  • 登壇者
    • 内山さん
      • JPCERTが前職でSIRT歴13年
      • グローバルのPSIRTを広く担当
    • 樋口さん
      • 今年からPSIRT加入、前職ではSOC
      • ASURAリーダー
    • 中野さん
      • IPAを含めるとSIRT歴14年
      • なんとかする担当
  • コロナ禍のPSIRT活動
    • 樋口さん
      • 今はリモートでいろいろやっている
      • 入ったばっかなのであんまり空気を読まないでいろいろ聞いている
      • 対人的なやりとりは少しやりづらい
    • 内山さん
      • 今の話に近い
      • 前はいろんな拠点を回っていた
      • F2Fで担当者と信頼構築していた
      • いきなりTeamsで連絡して冷たい感じになっている気がする
      • これまでの信頼関係があるのでそこは楽なところがある
    • 樋口さん
      • 世の中全般でも言われているけど、新規の人は入りづらい
      • 今後もオンラインが続くと辛いかも
      • 特に知らない人には、ビデオ会議でなるべく顔を出すようにしている
    • 内山さん
      • 最初の紹介の時は特に顔が見えるように
    • 中野さん
      • コロナ禍のノウハウになっている
      • 在宅だとマスクを外すこともできる
  • オリパラとPSIRT
    • 中野さん
      • 何もなかった
      • 結構備えたけど
    • 内山さん
      • 結果的には良かった
    • 中野さん
      • 大阪万博もあるので次どのような体制を取るのか
    • 樋口さん
      • ASURAで少しだけあった
      • 開会式前後で特定の国柄のアクセスが少し増えた程度
      • 肩透かしを食らった感じ
    • 中野さん
      • 事業部からは本当に何もなくてよかったと言われた
      • これからサッカーやラグビーもある
      • オリパラぐらい大きなイベントはこれまでなかったので、備えはいろんな外部のリソースも利用して行った
      • 備えの経験はできた
        • 24時間体制とか
        • 何かあったときに何日以内に何をするとか
        • ちゃんと全社で協力できた
  • 今後のPSIRTが備えるべきモノ
    • もっとこうやれるといいのにとかあるか
    • 樋口さん
      • もっとシステマティックに
      • 手順化したり
      • 自動化は少し難しいかもしれない
      • もうちょっとフォーマット整えたり
    • 中野さん
      • いろんな事業をやっている
      • 個人や企業や連合団体など、色んな所と関わっている
      • ただパブリックにするのか、個別にすべてのお客様に連絡するのか、判断も必要
    • 内山さん
      • 何をどうしたらいいかがナレッジ化されていないことが課題
      • ランドリーリストを用意しておいたほうがいいかも
    • 中野さん
      • PSIRTからの連絡を受ける側にもいろいろある
      • 慣れている事業部はいいが、初めて受ける事業部へのインプットも必要
      • 「本当ですか?」みたいなところから始まる
    • 内山さん
      • 伝えていかないといけないけど、いきなり全部伝えるとダメ
      • 加減が難しい
      • でも早く製品は直さないといけない
    • 樋口さん
      • 脆弱性が見つかって連絡を受けることは日々あること
      • 初めて連絡を受ける方から、「誰がなんのために伝えてくるんですか?」と警戒された
      • 初歩的な製品セキュリティ研修は受けているとは思うが、機能していないかも
      • 研修をやればいいというわけではない
      • 悩ましいところ
    • 中野さん
      • 避難訓練だよって言うと身が入らないこともある
      • どうしたいのかをお互い共有して前に進める必要がある
  • どうやって楽しく取り組んでいくか
  • PSIRT10周年イベントをやった
    • 全員揃うことはなかなかない
    • 頑張って全員集めてYoutube配信した
    • 座談会とテーマごとの発表をした
    • PSIRTって出力は難しい
      • 製品に関わるので
    • PSIRTのものというより個人の持っている情報などを紹介したり
    • テーマは難しい
    • さっきのパネル(セキュリティのアレ)に通ずる
      • どうやってわかりやすく伝えるか
      • 専門用語をどう説明するか
    • 中野さん
      • わかりやすく伝えるためにはイベントもいいかも
    • 樋口さん
      • 普段喋らない人も喋ってもらって意見の共有もできた
      • 終わった後毎月やるかとか相談していた
      • ハードルは高いけど内部向けにやるのはいいかも
    • 中野さん
      • 他社にもやってほしい
      • 「あの会社もやってるんですよ」って言えるから説得しやすい
      • 表現方法はいろいろある
    • 内山さん
      • 本気でコンテンツの検討をして、本末転倒になっちゃうかも
    • 中野さん
      • 防御も頑張らないといけないけど楽しくしないと
    • 内山さん
      • 攻撃者は一回通ればハッピー
      • 防御側は一回も通せない
      • 心理的な壁が高い
      • どうにか前向きにできないか
    • 樋口さん
      • 守る側が厳しいのはみんな認識している
      • ご褒美とか
    • 中野さん
      • 自作自演しない?
    • 樋口さん
      • インシデントの詳細情報出るようになっている
      • 公開できるものだけでもPSIRTから出していくことに意義はあると思う
  • 攻撃の見える化
    • 本邦初公開
    • 部屋にいろんな家電が設置されている
    • 家電に攻撃が来ていることを光で見えるようにしている
      • 入れる筒のサイズを先に作ったので入れられるものを探すのが大変だった
    • かっこよさも追求した
    • 中野さん
      • 見える化することで「本当に攻撃ってあるの?」という人にも伝えていっている
      • 社内だけではなくお客様にも伝えていきたい
      • 見える化しているところはまだ見せられないところも半分くらいある
      • CODE BLUEはいろいろやらせてくれるので他にも色々見せていきたい
  • まとめ
    • 中野さん
      • インシデントのコアな話はできないけど、経験や苦労したことは伝えられる
      • みなさんもセキュリティを楽しくいいものにしていきましょう

感想

セキュリティを楽しくやっていくのは非常に大切ですなー。色んな人に伝えていくことも、普段の関係性も、単純なセキュリティ以外のところで必要な要素がたくさんあります。

前を向いて取り組んでいきたいですね。とりあえず情報発信をいっぱいしましょう!