★☆★JNSAメールマガジン 第163号 2019.5.31 ☆★☆

こんにちは
JNSAメールマガジン 第163号 をお届けします。

コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。

さて、今回のメールマガジンでは、パナソニック株式会社 林彦博様に、「繋がる家電とPSIRT」と題してご寄稿いただきました。

【連載リレーコラム】
繋がる家電とPSIRT

パナソニック株式会社 製品セキュリティセンター
         製品セキュリティグローバル戦略室 室長  林 彦博

皆さまは「インターネットにつながる家電」をご利用でしょうか?携帯電話やテレビなど、もはや当たり前のようにインターネットに繋がっていますが、最近はエアコン、冷蔵庫、洗濯機、インターフォンなど、様々な家電がインターネットに繋がってより便利なサービスを提供できるようになりました。パナソニックでも皆さまのお役立ちとなるべく、日々新しい機器・機能を開発しております。

さて、こういった家電がインターネットに繋がるようになると、そのセキュリティが気になってくる人も多いのではないでしょうか。2016年に報告されたIoT家電等を狙うマルウェア「Mirai」をはじめとして、新聞やニュースでも家電のセキュリティ脅威について触れられるようになりました。
我々、「繋がる家電」を開発・販売するメーカは、製品にセキュリティ問題が発生しないように、様々な努力をしております。大きく分けると、【出荷前にいかに脆弱性を減らすのか】【出荷後に発見された脆弱性にいかに早く対応するか】という二分できるのですが、今回は後者「出荷後の対応」についてご紹介いたします。

脆弱性を見つける研究者・攻撃者は常に新しい技術・手法の開発を行い、より高度な攻撃を実現させています。そのような背景の中で、出荷後の製品に対して「新たな脆弱性」が発見されることは避けられません。そこで、メーカは発見された脆弱性に対して迅速に対処することが求められています。この解決策として、各メーカが構築しているのがPSIRT(Product Security Incident Response Team)というチームです。
PSIRTでは企業に届けられた脆弱性、一般に公開されてしまった脆弱性について、その影響力を調査し、開発事業部と協力の上で修正案を模索し、最終的には脆弱性の修正が行われるまでを、責任もって遂行する組織です。各社のPSIRTで特色はありますが、Panasonic PSIRTでは、「発見者及び開発者との調整」「脆弱性の解析」「対策の提案」を行えるメンバーで構成されています。

メーカに届け出られる脆弱性も様々です、致命的なものもあれば、脆弱性ではあるが攻撃難易度が高いもの、場合によっては誤った情報が寄せられることもあります。開発現場は必ずしもセキュリティに詳しい人材を抱えているわけではありません。そんな現場に玉石混交の脆弱性を投げ込んでしまうと、混乱がおきかねません。そこでセキュリティ人材で構成されるPSIRTにおいて、問題のトリアージを行うことで、脆弱性の修正をスムーズに行うことが出来ます。

また、一方PSIRTのメンバーは社内外に広いコネクションを持つ事を求められます。脆弱性を発見する側のハッカー集団・研究者、各国各地に散らばる社内の開発者、セキュリティ企業等で腕を振るうセキュリティ技術者、同様の問題を抱える可能性のある同業他社、そのような様々な方と連携することが、迅速な問題解決に繋がります。皆さまも国内外カンファレンスやセミナー等でPSIRTメンバーを見かけたら、是非お気軽にお声をおかけ下さい。

 

#連載リレーコラム、ここまで

<お断り>
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

<ワンクリックアンケートお願い>
今回のメールマガジン163号の感想をお寄せください。
https://bit.ly/30MSHAk
※googleアンケートフォームを利用しています。

【部会・WG便り】
★JNSA2018年度活動報告会の参加登録受付中です。
 日時:2019年6月12日(水)
 会場:ベルサール神保町
 お申込みはこちらから↓
 https://www.jnsa.org/seminar/2019/0612/

★SECCON2019スポンサー募集を中です。
詳細についてはSECCON事務局( info2019@seccon.jp )までお問合せ下さい。

【事務局からのお知らせ】
★2019年度JNSA総会は活動報告会と同日に行います。
 JNSA会員の方はご参加よろしくお願い致します。
 日時:2019年6月12日(水)16時から(会場:ベルサール神保町)

★サイバーセキュリティ小説コンテストで大賞を受賞した
「目つきの悪い女が眼鏡をかけたら美少女だった件」がスニーカー文庫として
出版されました。JNSA会員企業の皆様には2冊献本予定です。
連絡ご担当者様宛に順次発送いたします。

★JNSAは、(ISC)2やSANSの代理店として、会員企業の方へトレーニングの
割引販売を行っております。7月のSANSトレーニング受付を開始しました。
受講の際にはぜひ事務局までご連絡下さい。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第163号
発信日:2019年5月31日
発 行:JNSA事務局 jnsa-mail
*************************************
Copyright (C) Japan Network Security Association. All rights reserved.