IoTサイバーインテリジェンスサービス

IoT製品のセキュリティリスクと対策の必要性

コネクテッド技術の進展により、企業は製品をセンサーとすることでこれまで得られなかったさまざまなデータを分析し、新たなビジネスに活用できるようになりました。また利用者にとっては、スマートフォンなどのデバイスと製品をつないだり、機器同士で通信を行ったりすることによって、利便性やエネルギー効率の向上などが期待できます。一方で、こうした製品には取り扱うデータの種類や接続する方法によっては、格好の攻撃対象となってしまうリスクがあります。

すでにこうした機器を狙った攻撃が観測されており、日々新しい脆弱性が発見されています。そのため、製品のセキュリティ品質はリリース時に比べて徐々に低下するリスクがあります。こうした背景から、製品はリリース時点において高いセキュリティ品質を確保するだけでなく、リリース後にもセキュリティアップデートなどの対策を考える必要があります。また、開発中の製品に必要なセキュリティ機能の検討や、有事におけるセキュリティアップデートなどの対応にはコストが伴うため、どういった対策をどの程度行うかは、顕在化したリスクとその結果生じる影響に応じて慎重に決定する必要があります。こうした活動をより効率的に進めるためには、平時の動向や事例を把握し、備えておくことが重要です。

加えて、実際に対策を講じる際には、防御する立場の視点だけではなく、攻撃者の視点を持つことも重要です。そうすることにより、自社製品が新たな攻撃を受ける可能性に気づく一助となり得ます。また、開発者は最新の脅威動向をキャッチアップし、継続的かつ実践的なトレーニングを行うことで、よりセキュリティ品質の高い製品開発が期待できます。

PwCのサイバーインテリジェンス主導型サービス

PwCコンサルティングが持つ独自のサイバーインテリジェンスおよびハニーポットのノウハウと、パナソニックホールディングス株式会社が保有し、グローバル展開している製品ハニーポットで収集された情報を組み合わせることによって、クライアントの製品に対する脅威シナリオの仮説定義および分析を行い、対応策をはじめとしたサイバーインテリジェンス情報を提供することで、有事に備えた平時のサイバーセキュリティ活動を支援します。

• 脆弱性情報およびトレンドレポートの提供
  新たに発見された脆弱性に関する情報や、それらを悪用した攻撃事例などに基づいて脅威動向レポートを作成・提供し、製品に想定される脅威とリスクの特定を支援します。
• 検知情報の提供
  収集した攻撃を検知するためのシグネチャ、もしくはシグネチャを作成するために必要な情報を提供することで、製品に対して生じ得る攻撃の検知を支援します。
• マネージドハニーポット
  クライアントの製品を預かり、実製品によるハニーポット運用と情報収集を行います。そして製品仕様の情報に基づいたソフトウェアベースのハニーポットを構築し、クライアント製品に対する実体的な攻撃可能性や動向をモニタリングすることで、実製品に対して生じ得る攻撃の検知を支援します。
• 国際的な標準・規則・法規に基づく製品開発ポリシーの策定支援
  よりセキュアで、さまざまな法規・基準に準拠した製品を開発するため、国内外のセキュリティガイドラインや法規制、国際規格などに関する情報の提供や、それらに基づいたセキュアな製品開発プロセスやポリシーの策定を支援します。
• プライベートCTFによる実践的なトレーニングとスキルマネジメント
  攻撃側および防御側の両方の視点を持ち、よりセキュアな製品開発を行うために、クライアントの製品を考慮したゲーム形式（Capture the Flag：CTF）の実践的なトレーニングプログラムを提供します。Flagの回収率などに基づいて達成状況を管理するだけでなく、スキルマッピングを行うことで、エンジニアの教育およびスキルマネジメントを支援します。