Time Table

脆弱性の年間報告件数は増加を続けており、脆弱性の対応優先度の判断は、セキュリティ担当者や製品開発者を悩ませる要因となっている。脆弱性の対応優先度を判断する指標としてCVSSが広く使われているが「攻撃に利用されている実態」を表しているものではない。また、脆弱性の悪用可能性を予測するためにEPSSが存在する。我々は、パナソニックのIoT機器をハニーポットとして運用し「実際に悪用されている脆弱性」を特定した。さらにOSINTから「IoTマルウェアが標的とする脆弱性」を収集した。本発表では、これら脆弱性のCVSSパラメータを抽出・比較することで、パナソニックにとってより優先度の高い脆弱性の主な特徴を報告する。

Speakers:
Kohei Taguchi（田口 航平） パナソニック ホールディングス株式会社 製品セキュリティセンター　製品セキュリティグローバル戦略部 スペシャリスト
Manabu Nakano（中野 学） パナソニック ホールディングス株式会社 製品セキュリティセンター　製品セキュリティグローバル戦略部 部長