脆弱性はPCよりも面倒? 組み込み製品のセキュリティ - ITmedia エンタープライズ
鵜飼さんが、組み込み製品のセキュリティについて話されています。
某所でなっちゃん(id:himainu)が組み込み系へのSELinuxの適用を検討してたっけな・・・
近年の組み込み製品は多機能化やネットワークへの対応が進化し、一種のコンピュータとして多彩なアプリケーションの実行や高度な処理をできるものが増えている。外見は主機能や用途によって異なるが、内部はPCと同じようにOSやチップセット、そして、さまざまなソフトウェアが動いている。
鵜飼氏は、「組み込み製品はスダンドアロンで動く時代からインターネットへの接続や機器同士が連携する時代に移り、セキュリティもPCと同様に考えるべきタイミングが来た」と話す。だが、汎用的なPCに比べて、用途や機能、ユーザー層もさまざまな組み込み製品ではセキュリティ対策が十分に検討されてこなかったという。
ルータや携帯電話なんかは見つかると厳しいなぁ。(まぁ、携帯は携帯アップデートで一発やけどw)
国内では、IPAセキュリティセンターとJPCERT コーディネーションセンター(JPCERT/CC)が提供する脆弱性の届出報告で、2007年6月までにルータや携帯電話など11件の組み込み製品に関する報告があった。
鵜飼氏は、組み込み製品に脆弱性が見つかると内容によっては製品の回収・修理・発送までの対応を求められるケースがあり、ベンダーにとってはPC ソフトよりも抱えるリスクが高いと指摘する。「PCソフトはWebサイトに修正プログラムを公開し、ユーザーに対応を任せることが常識化しつつあるが、組み込み製品においてはそれだけで済まないことも多い」(鵜飼氏)
