セキュリティー・インテリジェンス

誕生から1年。「IBM X-Force Red」が自動車業界とIoT分野に進出

記事をシェアする:

今年2月のRSAカンファレンスで、私、チャールズ・ヘンダーソン(IBM X-Force Redのグローバル・ヘッド)は現在のコネクテッド・カー(インターネットへの常時接続機能を備えた自動車)の多くが抱える、プライバシーとセキュリティーの欠陥について講演しました。

聴衆の反応からモバイル端末で自分の車を探し、操作することに対し、人はとても神経質になるということがわかりました。そしてコネクテッド・カーの脆弱性について取り組むことに、大きな意義を感じるようになりました。

おもちゃの分解に夢中だった人々

振り返ると、ホワイトハッカー集団であるX-Force Redを創設してからの1年は紆余曲折でしたが、私はチームが一体となって急成長するのを目の当たりにしてきました。
有能な人材を雇用し、ペネトレーション・テスト(侵入テスト)で素晴らしい成果を上げ、顧客の期待に応えてきました。そんな中で最も重要なのは、今後もこの素晴らしい取り組みを継続していく体制が構築できた点です。X-Force Redの発展に参加できたことは、私にとってこの上ない誇りとなっています。
先述したコネクテッド・カーに関する私の関心をX-Force Redのメンバーが知った後、ほぼ全員が好意的な反応を示してくれました。このチームにいるのは世界最高レベルのセキュリティー研究者で、メンバーは小さい頃からさまざまなおもちゃを分解し、コンピューターに想定外の動作をさせる方法を発見してきた人たちです。
この10年以内に製造された自動車は、いずれも何百、何千という電子部品が搭載されています。こうした部品はそれぞれが固有のタスクを実行すると同時に、他の多くのデバイスとも通信します。つまり、自動車は実質的に「車輪の付いたコンピューター」と言えます。スマートフォンのアプリにリモート接続できるモデルもあれば、衛星ラジオやデジタル端末と連携可能なシステムを装備したモデルもあります。
しかし、自動車に便利な機能を詰め込むほどそのシステムは複雑化し、悪意あるサイバー犯罪者から攻撃されやすくなります。一例ですが、スペースシャトルを動かすためのコードは約400万行なのに対して、最近の標準的な車は約1億行のコードを必要とします。今後も、自動車メーカーがライバル社の製品より機能を減らすことはないでしょう。つまり、自動車の攻撃対象領域は拡大し続ける一方だということです。
では、コネクテッド・カーを安全に発展させるにはどうすればいいでしょうか。それは、自動車を構成する部品をテストしてから、システム全体をテストすることです。一見、簡単すぎるように聞こえるかも知れませんが、今年のモデルでハードウェア、アプリケーション、ネットワーク、さらには人間による操作まで厳密にテストすれば、それを踏襲する次年度モデルについて、セキュリティーの安全基準がつくられるでしょう。
自動車の最も効果的な製造プロセスは、今年のモデルでユーザーが気に入っている機能を維持しながら、次年度のモデルでさらに改良を加えることだと、自動車業界はわかっています。大事なのは継続的に「利益を生み出すこと」だからです。
セキュリティー・テストの世界も同じく、利益を追求します。自動車関連の製品やソリューションのテストで効率性や透明性を確保しているのは、そうした理由からです。そして、私たちX-Force Redもセキュリティー・テストを徹底して行っています。サイバー犯罪者は、システムへの侵入方法を1つ発見すれば十分ですが、防御側は、そのシステムを保護するためにすべての侵入方法を発見する必要があります。
特定の車について、前年から段階的に変更された要素だけをチェックする場合は、テストプロセスはプログラムに組み込まれることで大変管理しやすくなります。複数のモデルや長年にわたる車のセキュリティー管理は、新しいソフトウェア・アップデートやパッチがリリースされるにつれて、次第に複雑化する可能性がありますが、心配はありません。
私たちが提供する「Red Portal」を使用すれば、セキュリティー・テストのスケジュールを作成し、リアルタイムで脆弱性評価を表示しながら、サイバー犯罪者が知らないうちに危険を回避することができます。

X-Force Redによるハッカー間連携拡大

さらに「Watson IoT Platform」を使えば、X-Force Redのホワイトハッカー間による連携をソリューションとして提供できるようになります。
プロダクトの構想から開発、そしてライフ・サイクル全体など、どのような段階でも、X-Force Redはサイバーセキュリティーのノウハウを提供可能です。しかし、最も得意とするのは、実際にセキュリティー研究者をクライアントに割り当て、特定の製品の想定外の動作を能動的に引き起こせる点です。 万一、クライアントが抱える問題の原因がはっきりしない場合は、この方法を採用します。
最終的には、個別のターゲットに向けたセキュリティー・テストの実施から、プログラムに組み込まれたセキュリティー・テストやソリューションの提供を目指しています。あらゆるデータは複数のデバイスがシームレスに相互運用される共有モデルで利用される場合が非常に多いため、業界としても技術を単独で検討することはもはや現実的ではないのです。

(出典:Security Intelligence より訳出 “IBM X-Force Red Turns 1, Expands Into Auto and IoT Practice Areas” By Charles Henderson 2017年7月24日)

More セキュリティー・インテリジェンス stories
2019-10-31

SIEMとは何か?脅威の検出を強化する仕組みとは?

SIEM (セキュリティー情報/イベント管理:Security Information and Event M […]

さらに読む

2019-09-27

【オンデマンドWebセミナー】マルチクラウド時代におけるサイバーセキュリティーの考慮点

オンデマンドWebセミナーのご案内 マルチクラウド時代におけるサイバーセキュリティーの考慮点 今日、多くの企業 […]

さらに読む