2018年2月23日

TOP 平成29年度サイバーセキュリティ月間 ひとこと言いたい! 2018年2月23日

2018年2月23日

2018年2月23日(金) 

家電にもセキュリティを

 パナソニック株式会社 製品セキュリティセンター
 製品セキュリティグローバル戦略室 室長
 兼 Head of Panasonic PSIRT  林 彦博

 

 
 皆様のご自宅では、冷蔵庫、洗濯機、エアコン、掃除機、電話、テレビ、炊飯器、電子レンジ、インターホンなど様々な家電が活躍されていると思います。
 
 近年これらの家電の多くがインターネットにつながり始めています。
 例えば、外出先からスマートフォンで洗濯をスタートすることもできますし、帰宅途中に家のエアコンをONにすれば、快適な温度の部屋が出迎えてくれます。お掃除ロボはお部屋の掃除が終わり次第、スマートフォンで報告してくれます。テレビはテレビ番組をみるだけでなく、インターネットに繋いで最新映画を鑑賞したり、カラオケを楽しんだり、SNSを利用してコミュニケーションを深めることができます。また、家のインターホンと自分のスマートフォンを連携させることで、外出中でも訪問者に対応できたりします。最近では、スマートスピーカーなども流行っていますね。このように家電は今日進月歩の勢いで進化しつづけ便利になっています。このような製品をIoT (Internet of Things) 「モノのインターネット」と呼んでいます。
 
 これら「つながる」製品は便利な機能を提供する一方でネットワーク越しの脅威に常にさらされています。例えば、機器のサービスの停止、なりすまし、踏み台、遠隔不正操作、改ざんなどです。我々の独自調査で、家の中の家電がどのくらい本当に攻撃されているのかを調べたところ、たった1か月で世界中から数十万件の攻撃が確認できました。今は家電も狙われている時代なのです。
 
 これらの脅威からお客様を守るため、各家電メーカは政府やセキュリティ企業と協力して様々な取組を行っています。
 パナソニックでは、製品に対するセキュリティ向上の取り組みとして、製品開発時に行うリスクの最小化と、製品出荷後に行うインシデント対応を実施しています。
 製品開発時には、リスクを最小化するために、セキュリティ上の弱点となる脆弱性を作りこまない「混入予防」と、脆弱性を検出し取り除く「検出除去」の取り組みを行います。「混入予防」の取り組みとして、製品の設計図を考える段階から、どのような脅威が想定されて、それらにどのように備えるかについて、分析を行うことで、弱点の無い製品とすることを目指します。「検出除去」の取り組みは、製品出荷前の仕上げとしてセキュリティの専門家による脆弱性診断を行い、開発する中で作りこまれてしまった脆弱性を、探し出して修正します。製品出荷後はPanasonic PSIRT(Panasonic Product Security Incident Response Team)という組織で、万が一問題が発生した場合でも、新しく発見された製品のセキュリティに関する問題への早期対策に努め、必要に応じてセキュリティアップデートを実施します。
 
 皆様、ご自宅の家電のセキュリティアップデートはされていますでしょうか?少々面倒かもしれませんが、是非アップデートしていただき、より安全に進化した賢い家電を楽しんでお使いいただければと思います。
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。

  コラム一覧に戻る

2018年2月23日(金) 

サイバーセキュリティの学び方

 NTT西日本  ビジネス営業本部  クラウドソリューション部
 セキュリティソリューションG  主査  谷口 貴之,CISSP
 

 
 みなさんはじめまして、NTT西日本で法人顧客向けのサイバーセキュリティ対策の提案やコンサルティングを担当している谷口貴之と申します。
 
 仕事柄お客様のセキュリティ担当者とお話しする機会が多いのですが、セキュリティ対策を進める際の障壁として、経営層への説明をはじめとした社内調整を挙げられるケースが非常に多いと感じています。
 例えば、セキュリティ対策のトレンドは「インシデントの発生を防ぐ」ことから「インシデント発生を前提とする」セキュリティ対策に移りつつありますが、コストをかけても守り切れないという事実を、現場の実情に合わせて正確かつ分かりやすくさらには論理的に社内に説明にすることは難しいといったことを聞きます。
 
 みなさんはこのような社内の説得といった、言わば「セキュリティの現場に必要な対応力」を身につけるため、どのようにセキュリティを学んでいますか?
基本的なことは雑誌や書籍にも書かれていますし、インターネットで情報を集めることもできます。しかしこれらで学んだ知識は、情報が古かったり、自社のケースに当てはまらなかったりと、なかなかその知識だけでは現場の課題を解決することは難しいのではないでしょうか。
 
 私は同じセキュリティに携わるものとして、地域のセキュリティコミュニティに参加することでセキュリティを学ぶ方法を選びました。そこには4つのメリットがあると感じています。 

  •  最新の知識が身につけられる
    セキュリティ業界の第一線で活躍されている方の講演を聞けたり、質問できたりする機会が得られ、又聞きではない一次情報にもとづく最新知識を得ることができます。
  •  相談できる仲間が得られる
    同じ悩みを持つ仲間が得られます。異なった背景を持つ仲間に相談することで新しい切り口での課題解決のヒントが得られます。
  •  世間の動向がわかる
    セキュリティ対策の検討材料となる「他社はどのような取り組みを検討しているのか」という生の情報が得られることがあります。
  •  自らも貢献できる
    情報の発信者になることができます。情報を発信すると仲間からさらに情報が集まるようになり、知識が深まるとともに自らも貢献できるというやりがいにつながります。

 
 私は地域のセキュリティコミュニティに参加したり、新しいコミュニティの立ち上げにかかわったりする中で、大きな学びを得ることができました。
 地域のセキュリティコミュニティは日本中に存在していますので、ぜひみなさんも「サイバーセキュリティの学び方」としてセキュリティコミュニティへの参加を検討してみてはいかがでしょうか。(身近にコミュニティがないという方は、ご自身で立ち上げるという選択肢もあると思います。)
 そしてコミュニティの中でお互いに助け合い「みんなでしっかりサイバーセキュリティ」に取り組んでいきませんか。
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。

  コラム一覧に戻る