脅威にさらされるIoT家電をいかにして守るか パナソニック製品のサイバーセキュリティ対策を見てきた（1/3 ページ）

[大河原克行，ITmedia]

　パナソニックグループには、製品セキュリティセンターと呼ばれる施設がある。高度化するサイバー攻撃に対して、製品セキュリティリスクの低減と商品力強化に貢献するための活動を行っており、発売前の製品を、外部に委託することなく自らが診断し、パナソニックグループが定めた基準をクリアした上で出荷することになる。

　そして、この仕組みを支えるのが、Panasonic IoT Threat Intellgence「ASTIRA（アスティラ）」である。また、出荷した後の家電などのセキュリティを守る「THREIM（スレイム）」を独自に開発し、既に実用化している点も見逃せない。

　家電がネットワークにつながることが当たり前となる時代に向けた一手ともいえる取り組みだ。大阪府門真市にあるパナソニック ホールディングスの製品セキュリティセンターを訪れ、その取り組みに追った。

お話を伺ったパナソニック ホールディングスの中野学部長（右）と大澤祐樹氏（左）

狙われるIoT家電を、脅威からどのように守るのか

　パナソニックグループにおけるサイバーセキュリティへの取り組みは、社内イントラネットなどを対象にした「業務系システムセキュリティ」、工場で稼働している生産設備などを対象にした「製造システムセキュリティ」、市場に投入する製品やサービスを対象にした「製品セキュリティ」の3つの領域からアプローチしている。

　従来、それぞれの機能を担当する組織を個別に設置し、推進組織も情報システム部門、生産技術部門、製品セキュリティ部門と分散していた。だが、2023年度にCoE（Center of Excellence）としての役割を持たせる形で30人弱規模の「サイバーセキュリティ統括室」を新設し、ここに共通機能を一元化するとともに、各組織が連携できる機能を集約。さらに、各事業会社にもサイバーセキュリティ責任者を設置し、緊密な連携ができるようにしている。

　製品セキュリティへの取り組みは、2003年から開始している。薄型TVがネットワーク接続される動きが始まったタイミングであり、各種ネットワーク製品を対象に、確実に安全につなぐために、出荷前の評価を開始したのが始まりだ。ソフトウェア技術者、通信技術者、暗号系技術者と共に、接続検証およびセキュリティ診断を開始した。

製品セキュリティセンターの沿革

　2010年には、社外からの脆弱（ぜいじゃく）性の指摘に対応したり、発売後の製品に対応する役割を担ったりするPanasonic PSIRT（Product Security Incident Response Team）を設置している。

　こういった経緯を経て、製品セキュリティセンターを設置したのは2016年のことだ。パナソニックの事業場の1つとして発足し、検証や診断、PSIRTの機能に加えて、人材育成や技術開発、コーポレートガバナンスに関する機能も持たせた。

　また、2018年にはセキュリティ監視技術を開発し、ビルや工場、電力事業者向けのサイバーセキュリティ監視サービスを提供した。パナソニックグループ内の約100工場への導入を始め、森ビルや東京建物などの社外にもサービスを提供している。

製品セキュリティセンター「Panasonic PSIRT」の概要

　パナソニック ホールディングス サイバーセキュリティ統括部グローバルセキュリティ統括部兼技術部門 製品セキュリティセンター製品セキュリティグローバル戦略部の中野学部長は、「製品セキュリティセンターでは、リスクの最小化とインシデント対応の仕組みをグローバルに整備している。パナソニックグループが市場に投入するネットワーク接続が必要な製品は、ほぼ全てが製品セキュリティセンターを活用して、診断を行うことになる」と語る。

パナソニック ホールディングス サイバーセキュリティ統括部グローバルセキュリティ統括部兼技術部門 製品セキュリティセンター 製品セキュリティグローバル戦略部 中野学部長

　リスクの最小化においては、企画／設計段階での「脆弱性作り込み防止」、出荷直前の「脆弱性検出／除去」を実施する他、インシデント対応では、出荷後のインシデントに対して、分析と対応策の検討を通じて開発部門を支援し、セキュリティ監視も行うことになる。

　「特に、セキュリティ診断には強みを持っている。長年に渡り、IoTに特化したノウハウを蓄積しており、これを自社で行うことができるのが製品セキュリティセンターの特徴だ」と中野氏は語る。

　セキュリティ診断では、2023年度で約340件、2024年度には269件の診断実績があり、ネットワーク接続検証実績は2023年度に88件、2024年度には64件に達している。白物家電やTV、車載機器、システム機器などを対象に実施しており、社外にもサービスを提供した実績もあるという。

　診断する製品は、製品セキュリティセンターの施設で行ったり、オンラインで行ったりするのに加え、大規模なものに関しては事業会社の拠点に出向いて実施することもあるそうだ。

　「海外で開発／生産／販売を行う家電などは、本体ではなく、対象となる基板や通信モジュールのみを送ってもらって診断を行うこともある。中国のように海外への持ち出しに制限があるケースでは、現地の協力企業と連携する場合もある」とし、「過去には、製品の総重量が1トンあるが、製品セキュリティセンターに持ち込めるか、といった問い合わせもあった」と笑う。

　さらに製品セキュリティセンターでは、開発や品質管理における各種ポリシーやルールの構築、各種プロセスの整備による製品セキュリティ基盤の確立や、セキュリティ人材の育成、IoTを中心としたサイバーセキュリティに関する脅威情報の収集および分析、セキュリティ監視と対応を図る役割を担う。

　Panasonic PSIRTでは、脆弱性情報の解析や状況を再現した形での確認、脆弱性対策支援などを実施する。セキュリティベンダーや研究機関、関連団体といった外部と連携し、事業会社のIRT（Incident Response Team）と連携した脆弱性コーディネートや、情報共有も行っている。

　「将来的には、製品セキュリティセンターの対象範囲を、サプライチェーン全体に拡大し、他社から調達したものや、設計依頼したものなどにも広げることになる」とした。