こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。
今回はCODE BLUE 2023で行われた以下のセッションのレポートです。
[パナソニック ホールディングス株式会社] IoT Threat Intelligence at Panasonic ~Journey to protect home electronics~
当社では、製品ライフサイクル全体にわたってセキュリティ活動を継続的にアップデートすることを目的としたエコシステム「ASTIRA」を構築し、ASTIRAから得られたデータとその分析結果を製品ライフサイクルの各フェーズに組み込み、製品のセキュリティを強化しています。 その取り組みの中で開発されたのがIoTに特化した自己防御モジュール「THREIM」です。 本セッションでは、ASTIRAのコンセプトとTHREIMの評価結果についての紹介、メーカーとして自己防御モジュールを導入する理由についてなどを議論します
Presented by : 大澤 祐樹(主幹技師) 伊藤 知史(主任技師) 樋口 悟(主任技師)
レポート
- パナソニックホールディングス株式会社 製品セキュリティセンター
- 伊藤氏、樋口氏が在籍している部署
- 製品のセキュリティを強化している
- 背景
- 増加するIoTへの攻撃
- Web CamerasやRoutersなどへの攻撃が2021-2022の1年間で急増
- 2022年に観測された攻撃のうち1/3がIoTへの攻撃
- IoTマルウェアの現状
- とある脆弱性が公開されてから2日後にはIoTマルウェア化していた
- 実際に脆弱性公開から15日後にはパナソニックのASTIRAで当マルウェアを捕獲
- 増加するIoTへの攻撃
- 出荷後の製品セキュリティの重要性
- 製品ライフサイクル全体をカバーした活動を実施
- 出荷時点で固定されたセキュリティレベルは時代遅れになっていく
- セキュリティアップデートを義務付ける法規制
- 製品ライフサイクル全体をカバーした活動を実施
- ASTIRA とは?
- ASURA(阿修羅) + TI(Threat Intelligence)から作った製品名
- ASTIRAが持つ主な機能・役割は下記4つ
- 情報収集
- 実際のIoT製品を使ってハニーボットを作成し、脅威情報を収集
- 2017年11月から数ヶ月前までに収集した総攻撃数は22億リクエスト以上
- そのうちマルウェアは約11万、IoTマルウェアは3万以上
- 分析・可視化
- 世界地図を模したマップで通信を可視化。CODE BLUE会場のパナソニックブースにて展示しているものもリアルタイムの通信を可視化しているとのこと。
- 開発・サービスのセキュリティ対策
- 組織強化
- なぜASTIRAをやるのか?
- 製品のライフサイクル的に、製品出荷後から時間が経過するほど製品は相対的に脆弱になる
- 出荷前から出荷後まで全ての製品セキュリティ活動を強化することが目的
- MITRE ATT&CKを用いた実製品への攻撃分析
- 最も多いTacticsはReconnaissance(偵察)
- 次にInitial Attacks
- 上記のように集めた情報をもとに製品ライフサイクルの全てのフェーズを強化
- 検討中だが、定期的な出荷後脆弱性診断を行う予定
- 現在出荷前に脆弱性診断は行っている
- しかし、出荷後にも行いたい。ただし、出荷前と同じ項目数を行うのはコスト的に厳しい。
- そこで、リスクレベルなど集めた情報をもとに、テスト項目を重要項目、推奨項目というようにランク付けし、出荷後にも定期的に診断可能とする
- 検討中だが、定期的な出荷後脆弱性診断を行う予定
- THREIM(スレイム)とは
- 自己防御ソフトウェアモジュール
- THreat REsilience & Immunity Module (for IoT device)の大文字部分を取って命名
- 機器が乗っ取られて悪用されることを防御
- 主な役割
- ユーザーによるインストール不要、ビルトインのアンチマルウェア
- 軽量でIoT機器に対して悪影響を与えない
- Linux搭載機器をサポート
- THREIMの評価について
- THREIM性能評価の効率化
- ASTIRAで収集したマルウェアを使用
- IoT製品の中にマルウェアを置いてマルウェアを起動
- ただし、実際の製品で行うと時間がかかりすぎるのでサンプル数を減らして実施
- THREIMの評価フロー
- LIST
- CLUSTER
- 似ているマルウェアを同じグループへ分類(クラスタリング)
- PICK
- TEST
- RUN
- OBSERVE
- INITIALIZE
- マルウェアを検知した場合、RUNを停止
- 評価環境の用意
- IoT機器を隔離されたネットワークに配置
- インターネット接続の仮想環境上での追加評価も実施
- 評価結果
- THREIM性能評価の効率化
- THREIMの開発プロジェクトは事業部門の開発者の協力が必須だった
- IoT機器は製品ごとの個別作り込みが多い
- 開発者の協力が無いとそもそもTHREIMのインストールが出来ない
- コラボレーションを成功させるための鍵
- 事業部門自体の問題としてセキュリティの重要性を強調
- 実際に攻撃を体感してもらった
- 連携開始前およびコラボレーション中の信頼関係が重要だと感じた
- IoT機器は製品ごとの個別作り込みが多い
- なぜメーカーがTHREIMのような自己防御モジュールを独自実装するのか?
- 製品の自己防御は出荷前に製品へ実装する必要があるため
- 外部事業者に依頼した場合、製品の機密情報やノウハウを共有してもらう必要があるため。また、ライセンス料を払い続けるのも好ましくない
- IoTにおける妥当なセキュリティとは?
- メーカー、ユーザー、政府/監査機関、研究者/アカデミア、それぞれにとって"妥当な"セキュリティは異なると考えている
- 自己防御は「妥当な」選択肢と言えるか?
- 一番重要なのはファームウェアアップデートを行うこと
- しかし、すぐに出来るわけではない
- そのため、二番目に重要な対応として自己防御が妥当だと考えた
- 一番重要なのはファームウェアアップデートを行うこと
- 結論
- メーカーには製品セキュリティを継続的に向上させる取り組みが必要
- なぜ?どうやって?メーカーの製品セキュリティ向上に関する知見
- 妥当な製品セキュリティを模索していく
- メーカーとして提案する一つの例として消費者製品への自己防御機能の導入
感想
パナソニックホールディングス株式会社がIoT製品のセキュリティを強化するために導入したサービス、ASTIRA、THREIMの紹介をもとに、製品セキュリティに対するパナソニックホールディングス株式会社が考える「妥当なセキュリティ」について学ぶことが出来ました。
顧客に販売する物理的な製品という性質上、出荷後に相対的に脆弱になっていくというお話にとても納得しました。また、そこへのコスト的にもセキュリティ的にも妥当な対応として「自己防御」という機能を導入されていたのも面白かったです。
32
