PSIRTの重要性に関して
はじめに
デジタル化が加速する中で、製品に対するサイバー攻撃のリスクは年々高まっています。
IoT機器や組込みシステムも例外ではなく、開発者や製造業者はこれまで以上にセキュリティ対策への責任を問われる時代になりました。
そんな中、近年注目されているのが「PSIRT(Product Security Incident Response Team)」です。
本稿では、PSIRTの概要からその必要性、実際の立ち上げ方法、実際の業務範囲までを解説します。
PSIRTとは何か?
PSIRTとは、製品に関わるセキュリティインシデントに対応する専門チームのことを指します。
これは企業内で発生する情報セキュリティ問題(例えば個人情報漏洩など)を扱うCSIRT(Computer Security Incident Response Team)とは異なり、製品やサービスにおける脆弱性、あるいは市場から報告されるセキュリティ上の課題に対して、迅速かつ適切に対応することを目的としています。
なぜ今、PSIRTが必要なのか?
近年では、テレビや冷蔵庫などの家電から工場内の機械やセンサーまでIoT機器は私たちの生活に欠かせないものとなっています。
利便性向上が期待できる一方で、様々な情報がネットワークを介してやり取りされる中、欧州における「CRA(サイバーレジリエンス法)」や米国の大統領令、日本の「JC-STAR制度」など、製品セキュリティに対する要求は世界的に厳しさを増しています。
これらの規制や指針は、製品ライフサイクル全体を通じてのセキュリティ確保を求めており、脆弱性が発覚した場合の対応体制が企業にあるかどうかも重要な評価ポイントとなります。
PSIRTを備えていない企業は、インシデント発生時に組織内での対応が混乱し、顧客や市場への説明責任を果たせず、結果として信頼の喪失や法的リスクに直面する可能性があります。
PSIRTの立ち上げに必要な要素
PSIRTの立ち上げには、まず社内の意識づくりと経営層の理解・支援が不可欠です。
次に、具体的な体制づくりとして以下の要素が必要となります。
・体制と役割の明確化
製品開発部門、品質保証、法務、広報などの関係部署をまたぐ体制を作り、脆弱性の受領から評価、対応、顧客への開示までを担います。
・脆弱性報告の受け入れ窓口の設置
外部研究者やユーザーから脆弱性情報を受け取るための、信頼できるチャネル(メールアドレス、専用フォーム等)を用意します。
・標準化された対応プロセスの整備
報告受領→初期評価→影響分析→修正方針の策定→リリース・通知まで一連のフローを明文化し、対応の品質を均一化します。
・情報発信と透明性の確保
脆弱性情報の開示方針(CVE採番、アドバイザリ公開など)や、ステークホルダーへの通知の仕組みを設けます。
PSIRTの業務範囲
PSIRT立ち上げ後、実際にどのような業務を行うか、PSIRTの主な業務を解説します。
・脆弱性管理
自社製品の脆弱性に関する情報を収集、分析します。
内部のセキュリティ担当者やオープンソースの脆弱性データベース、セキュリティコミュニティ、ベンダーから提供される情報などの情報源を活用し、収集した情報をもとに自社製品への影響を素早く評価することで、セキュリティインシデントに迅速に対応できます。
・セキュリティインシデントへの対応
セキュリティインシデントとは、情報セキュリティに関する事故や外部からの攻撃などを表します。
外部要因と内部要因が存在し、例えば、外部要因としては、マルウェアの感染や特定の組織を狙った標的型攻撃、不正アクセスなど、内部要因としては、従業員による機密情報のご送信や紛失、内部不正などが挙げられます。
これらのセキュリティインシデントが発生した際、PSIRTは迅速かつ適切な対応が求められます。
具体的な対応としては、インシデントの調査や原因の特定、速やかな修正パッチの開発・配布、顧客や関係機関への説明や情報提供、セキュリティ対策の立案などが挙げられます。
発生したセキュリティインシデントの詳細を正確に把握し、適切に対応することで、被害の拡大を防ぎ、影響を最小限に抑える必要があります。
・各関係部署や部門との連携
社内では、開発部門や法務部、広報部など各部署との連携により、セキュリティ対応の質を大幅に向上させることができ、効果的な情報共有や迅速な意思決定が可能になります。
また、自社内だけでなく、サービス利用者やサプライチェーンとの連携も求められる場合があります。
セキュリティツールのご紹介
PSIRTに関連して、弊社アイティアクセスでご提供している各種ツールをご紹介します。
- HERCULES SecSAM
製品構成の分析とソフトウェア部品表(SBOM)の作成を通じて、プロジェクト(製品)のサードパーティ・コンポーネントの脆弱性及びライセンス問題を把握し、脆弱性への対応を行うOSS(Open Source Software) リスク管理システムです。
また、問題追跡システムでCI/CD統合を行うことも可能です。
PSIRTでの活用方法
SBOMの作成自体は表計算ソフトやテキストファイルでも可能ですが、社内で必要となる脆弱性対策情報をすべて把握しようとすると件数は膨大となり、手作業での対応は現実的ではありません。そこで、専用ツールを導入して作業を自動化することで、より正確かつ効率的な対応が可能となります。
- HERCULES SecDevice
ネットワークに接続された製品の脆弱性スキャンとファズテスト(ソフトウェアやシステムに対して意図的に不正・異常な入力を与え、想定外の挙動や脆弱性を発見するテスト手法)を行うセキュリティ評価ツールです。
シンプルな操作性とブラックボックステストの自動化により、製品のセキュリティテスト担当者の負担を軽減します。
PSIRTでの活用方法
IoT機器やネットワーク機器に対するファズテストを通じて、未知の脆弱性を高精度かつ短時間で検出し、脆弱性管理に役立ちます。また、発見された脆弱性に関する影響範囲や危険度に応じて、修正版の開発やパッチの適用など対応の優先順位を決定する際にも活用されます。
製品概要については、弊社HPにも情報を掲載しております。併せてご確認ください。
まとめ
弊社アイティアクセスでは、第三者認証機関 DEKRA やテストラボ Onward Security などのセキュリティ関連パートナー企業の知見、さらに他社での取り組み事例も踏まえ、ご紹介したセキュリティツールに加えて PSIRTの体制構築支援 をはじめ、幅広いご相談に対応します。
また、その後に必要となる各国のサイバーセキュリティ法規制への対応についても、ワンストップで支援します。
製品セキュリティ対応は一部門だけの責任ではなく、組織全体で取り組むべき重要課題です。
そして、PSIRTの設置はその最初の一歩となる極めて重要な取り組みです。
これからの製品開発、そして各国セキュリティ法規制への対応に向け、PSIRTの構築をぜひご検討ください。
※本文中に記載されている会社名、製品名等は会社の登録商標または商標です。
