脅威にさらされるIoT家電をいかにして守るか　パナソニック製品のサイバーセキュリティ対策を見てきた

　パナソニックグループには、製品セキュリティセンターと呼ばれる施設がある。高度化するサイバー攻撃に対して、製品セキュリティリスクの低減と商品力強化に貢献するための活動を行っており、発売前の製品を、外部に委託することなく自らが診断し、パナソニックグループが定めた基準をクリアした上で出荷することになる。

【その他の画像】

　そして、この仕組みを支えるのが、Panasonic IoT Threat Intellgence「ASTIRA（アスティラ）」である。また、出荷した後の家電などのセキュリティを守る「THREIM（スレイム）」を独自に開発し、既に実用化している点も見逃せない。

　家電がネットワークにつながることが当たり前となる時代に向けた一手ともいえる取り組みだ。大阪府門真市にあるパナソニック ホールディングスの製品セキュリティセンターを訪れ、その取り組みに追った。

●狙われるIoT家電を、脅威からどのように守るのか

　パナソニックグループにおけるサイバーセキュリティへの取り組みは、社内イントラネットなどを対象にした「業務系システムセキュリティ」、工場で稼働している生産設備などを対象にした「製造システムセキュリティ」、市場に投入する製品やサービスを対象にした「製品セキュリティ」の3つの領域からアプローチしている。

　従来、それぞれの機能を担当する組織を個別に設置し、推進組織も情報システム部門、生産技術部門、製品セキュリティ部門と分散していた。だが、2023年度にCoE（Center of Excellence）としての役割を持たせる形で30人弱規模の「サイバーセキュリティ統括室」を新設し、ここに共通機能を一元化するとともに、各組織が連携できる機能を集約。さらに、各事業会社にもサイバーセキュリティ責任者を設置し、緊密な連携ができるようにしている。

　製品セキュリティへの取り組みは、2003年から開始している。薄型TVがネットワーク接続される動きが始まったタイミングであり、各種ネットワーク製品を対象に、確実に安全につなぐために、出荷前の評価を開始したのが始まりだ。ソフトウェア技術者、通信技術者、暗号系技術者と共に、接続検証およびセキュリティ診断を開始した。

　2010年には、社外からの脆弱（ぜいじゃく）性の指摘に対応したり、発売後の製品に対応する役割を担ったりするPanasonic PSIRT（Product Security Incident Response Team）を設置している。

　こういった経緯を経て、製品セキュリティセンターを設置したのは2016年のことだ。パナソニックの事業場の1つとして発足し、検証や診断、PSIRTの機能に加えて、人材育成や技術開発、コーポレートガバナンスに関する機能も持たせた。

　また、2018年にはセキュリティ監視技術を開発し、ビルや工場、電力事業者向けのサイバーセキュリティ監視サービスを提供した。パナソニックグループ内の約100工場への導入を始め、森ビルや東京建物などの社外にもサービスを提供している。

　パナソニック ホールディングス サイバーセキュリティ統括部グローバルセキュリティ統括部兼技術部門 製品セキュリティセンター製品セキュリティグローバル戦略部の中野学部長は、「製品セキュリティセンターでは、リスクの最小化とインシデント対応の仕組みをグローバルに整備している。パナソニックグループが市場に投入するネットワーク接続が必要な製品は、ほぼ全てが製品セキュリティセンターを活用して、診断を行うことになる」と語る。

　リスクの最小化においては、企画／設計段階での「脆弱性作り込み防止」、出荷直前の「脆弱性検出／除去」を実施する他、インシデント対応では、出荷後のインシデントに対して、分析と対応策の検討を通じて開発部門を支援し、セキュリティ監視も行うことになる。

　「特に、セキュリティ診断には強みを持っている。長年に渡り、IoTに特化したノウハウを蓄積しており、これを自社で行うことができるのが製品セキュリティセンターの特徴だ」と中野氏は語る。

　セキュリティ診断では、2023年度で約340件、2024年度には269件の診断実績があり、ネットワーク接続検証実績は2023年度に88件、2024年度には64件に達している。白物家電やTV、車載機器、システム機器などを対象に実施しており、社外にもサービスを提供した実績もあるという。

　診断する製品は、製品セキュリティセンターの施設で行ったり、オンラインで行ったりするのに加え、大規模なものに関しては事業会社の拠点に出向いて実施することもあるそうだ。

　「海外で開発／生産／販売を行う家電などは、本体ではなく、対象となる基板や通信モジュールのみを送ってもらって診断を行うこともある。中国のように海外への持ち出しに制限があるケースでは、現地の協力企業と連携する場合もある」とし、「過去には、製品の総重量が1トンあるが、製品セキュリティセンターに持ち込めるか、といった問い合わせもあった」と笑う。

　さらに製品セキュリティセンターでは、開発や品質管理における各種ポリシーやルールの構築、各種プロセスの整備による製品セキュリティ基盤の確立や、セキュリティ人材の育成、IoTを中心としたサイバーセキュリティに関する脅威情報の収集および分析、セキュリティ監視と対応を図る役割を担う。

　Panasonic PSIRTでは、脆弱性情報の解析や状況を再現した形での確認、脆弱性対策支援などを実施する。セキュリティベンダーや研究機関、関連団体といった外部と連携し、事業会社のIRT（Incident Response Team）と連携した脆弱性コーディネートや、情報共有も行っている。

　「将来的には、製品セキュリティセンターの対象範囲を、サプライチェーン全体に拡大し、他社から調達したものや、設計依頼したものなどにも広げることになる」とした。

●阿修羅×Threat Intelligence＝ASTIRA

　製品セキュリティセンターが開発したプラットフォームとして、Panasonic IoT Threat Intellgence「ASTIRA（アスティラ）」がある。IoT家電のセキュリティ強化に向けたプラットフォームと位置付けられ、IoTマルウェアなどの脅威情報を収集／解析／活用できる。

　また、この情報を元に、最新脅威の情報を開発工程に反映する他、開発段階で簡易自動診断を実施。出荷前にはサイバー空間で事前評価を行う出荷前リスク評価を実施することで、DevSecOpsの確立につなげている。

　脅威情報の収集では、ASTIRAの観測拠点にパナソニック製IoT家電を設置し、ルーターなどを経由せずに直接インターネットに接続して、わざとセキュリティを甘くし、無防備な状態で設置する。そうすることで、どんな攻撃が世界中から行われているのか、どのようなIoTマルウェアが広がっているのかといったことを観測し、これらのデータを元に静的解析、動的解析によって分析できる。

　パナソニックホールディングス 技術部門 製品セキュリティセンター製品セキュリティグローバル戦略部戦略課 エキスパートの大澤祐樹氏は、「ハニーポットにIoT家電の現物を使用し、攻撃の情報を収集する。同時に、一般的なサーバを用いたハニーポットも用意し、広域に情報を収集している。さらに、事業会社と緊密に連携しながら、まだ一般には公開していない開発中の製品に対する攻撃についても、事前に情報を収集できる。パナソニックグループが独自に構築したプラットフォームであることから、こういった観測も可能になっている。これは、セキュリティベンダーにはできない部分である」とした。

　また、日本と台湾に規模が大きい観測拠点を設置し、米国／ドイツ／インド／シンガポールにも観測拠点を持っている。観測に使用する機器では、TVやレコーダー、冷蔵庫、洗濯機、ネットワークカメラ、ドアホン、スマートスピーカーなどがある。

　同社によると、2017年11月以降、2025年3月までに観測した攻撃総数は31億件以上で、収集したマルウェアの数は11万8930件に及ぶ。収集したIoTマルウェアの数は3万2325件に達している。

　ASTIRAの名称は、 TI（Threat Intelligence）と仏教の守護神でもある阿修羅（ASHURA）からつけられており、日夜、各方向から得られる数多くの情報を捉えて、解析し、サイバー攻撃に立ち向かうという意味を込めているという。

　パナソニック ホールディングスの大澤氏は、「サイバー攻撃数は年々増加の一途を辿っており、中でもIoT機器を狙った攻撃が最も多く、全体の3分の1を占めている。攻撃者はIoTマルウェアを感染させ、家電やネットワークカメラ、ルーターなどのIoT機器を乗っ取り、それを踏み台にしてサイバー攻撃を仕掛ける。利用者はIoTマルウェアに感染した時点では被害者であったものが、知らない間に加害者の立場になってしまうことに気をつけなくてはならない」と警鐘を鳴らす。

　NOTiCEの調査によると、2025年5月のマルウェアに感染したIoT機器の検知数は1日最大1034件で、リフレクション攻撃の踏み台にされうるIoT機器は1万5880件に達している。

　また、脆弱性が公表されると2日後には脆弱性を狙ったマルウェアが出回る状況になっていることも指摘する。

　製品セキュリティにおける課題は、製品の出荷後に、セキュリティ強度が劣化するという点だ。製品の出荷時点では、脆弱性診断を行い、高い防御水準の状態にあるが、出荷後はセキュリティアップデートが難しいのが現状であり、攻撃手法の進化、IoTマルウェアの増加などにより、危険な状況の中で利用しつづけなくてはいけないのが現状だ。

　「家電のような個人向け製品は、出荷後はそのまま使い続けることが多く、メーカーや販売店からは、ファームウェアの更新やセキュリティアップデートが行われているのかをチェックすることもできない。また、EOL（End of Life）を迎えると、メーカー側から対策を取るのはさらに難しくなる」と指摘する。

　ノートPCやスマホなどの高い機能を持つデバイスは、セキュリティソフトを使用すればいいが、白物家電の場合には、それを動作させるには機能が低かったり、TVの場合にも高画質化などを図るために最低限のメモリなどを内蔵しているにすぎなかったりするなど、セキュリティソフトを稼働させることができない状況にある。

　もちろん、セキュリティのために機能を強化するという考え方もあるが、価格競争が激しい中で、コストの増加につながるサイバーセキュリティ強化には踏み出しにくいのが実態だ。

　だが、セキュリティ対策ができにくいからといって、パナソニックブランドの家電や機器が乗っ取られ、情報が漏えいしたり、他者の攻撃に加担したりすることは防がなくてはならない。

　ASTIRAは、こういった製品出荷後のセキュリティ強度の経年劣化に対して、ライフサイクル全般で製品セキュリティを継続的にアップデートすることにも取り組み始めている。

　ASTIRAで収集／分析し、脅威の状況を把握すると共に可視化し、この知見やノウハウを製品対策につなげ、今後はAIの活用についても加速していくことになるという。

　具体的には、製品出荷後にASTIRAで収集／分析したデータを元にして、脅威予兆により先手で対応したり、出荷後の定期診断により、セキュリティを確保。新たな防御機能を提供したりすることで乗っ取られない家電を実現するという。

●独自の「THREIM」でIoT家電をマルウェアから守る

　出荷後の家電の防御機能として活用できるのが、「THREIM（スレイム）」である。名称はTHreat REsilience and Immunity Moduleの頭文字を取っており、いわば、パナソニッオリジナルのIoT機器向けセキュリティソフトといえるものだ。

　同社では、「IoT機器を攻撃するウイルスを防御するために、免疫を強化するワクチンとしての役割を果たす」と位置付けている。

　THREIMは、インストールが不要なビルトイン型マルウェア対策機能で、製品を出荷した時点からウイルス対策機能を有効にしているのが特徴だ。一般ユーザーは事前設定などが不要で、家電の電源を入れただけで自動的に使える。むしろ、無意識のうちに利用できるというものだ。また、軽量であり、機器の動作への影響を最小化している。

　さらに、製品の特性に合わせてTHREIMをカスタマイズして最適化したり、出荷後のアップデートの際にも機器ごとの特性に応じて、どの程度の頻度で行ったりするのかといったことを事業部と相談しながら柔軟に設定できるという。

　THREIMのアップデートは、ファームウェア全体のアップデートと同時に行うケースや、THREIMの部分だけを更新するといった方法が取られているという。

　「家電を始めとしたさまざまなIoT機器を、セキュリティ機能を搭載した製品として市場投入することができ、ゼロディ攻撃などの被害も抑制できる。さらに、ファームウェアを更新できない期間の防御策としても活用できる」としている。実験室の評価ではサイバー攻撃に対して86％の防御率を達成しているという。

　2025年3月には、THREIMに監査ログ機能の開発を完了した。万が一、不正侵入が発生した場合に迅速な分析、対応が可能になる。これは、事後対応にもフォーカスした新たな取り組みだ。

　「機械的な故障なのか、サイバー攻撃による故障なのかといったことを切り分けることも大切になる。その点でも、ログの収集／分析は重要になる。今後、IoT機器に関するログの収集／分析は、世界中で進んでいくと考えている」という。

　なお、THREIMを搭載したパナソニックブランドの家電などは、既に市場に投入されているが、パナソニックグループでは、どのカテゴリーのどの機種にTHREIMを搭載しているのかは明らかにしていない。

　ネットワークに接続する製品は、これから増加していくだろう。その一方で、サーキュラーエコノミーの進展などにより、製品をより長く使おうとする動きも見られている。だが、これはサイバーセキュリティの観点からみれば、製品の利用が長寿命化することで、セキュリティ強度の劣化を生むなど、課題が増えることにもつながる要素だ。THREIMのようなツールがますます求められることは明らかだろう。

　そして、将来的には、多くの家電がネットワークに接続されることが当たり前になると、セキュリティ機能を重視して、家電を購入するという時代が訪れる可能性もある。

　製品セキュリティセンターにおけるASTIRAおよびTHREIMへの取り組みは、そういった時代の到来に向けて、先駆けた一歩といえるだろう。