「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす：なぜPSIRTが製造業で必要なのか

2022-11-14

IoT製品が普及するにつれ、IoT製品のセキュリティに係る問題も目立つようになってきています。この問題に対峙するには、従来の品質対応とは少し異なった体制づくりが求められます。本インサイトシリーズでは、製品セキュリティに対応するための体制「PSIRT¹」に必要となる基本的な取り組みや将来像についてご紹介します。その第1回となる本稿では、製造業を取り巻くセキュリティ環境について解説します。

IoT機器を取り巻く環境

インターネットにつながり、そのアプリケーション機能を実行するIoT機器は、一般に低価格な組み込みシステムとして開発されるため、機器のリソースは限られており、自己防御機能も制約されます。防御能力の低い端末を、攻撃者が自分の攻撃の手足にしようと乗っ取りを考えるのも自然と言えます。NICT（国立研究開発法人情報通信研究機構）の「NICTER²観測レポート2021」によれば、インターネット上の攻撃パケット数は2021年はやや減少したもの、年々増加の一途をたどっていました（図表1）。

こういった攻撃パケットを発するマルウェアの1つに「MIRAI」という、社会的インパクトの大きいマルウェアがありました。MIRAIはIoT機器を主なターゲットにしており、2016年には50万台規模のIoT機器群が感染してBotnet³を形成し、攻撃者の指示に合わせて、一斉に攻撃パケットをターゲットへ投げつけるDDoS⁴攻撃がありました。この攻撃により、大手ウェブサイトの多くを下支えするDNS（ドメイン・ネーム・システム）が停止し、多くのユーザが利用するサイトが世界規模で一時接続不能になるなど、大きな被害が出ました。MIRAIの亜種となるIoTマルウェアも年々増加傾向にあります。

IoTセキュリティ施策の動向

MIRAIの問題により、製品利用者のセキュリティ面の安全性を確保するため、何かしらの対策を打つ必要性が求められ、特にIoT機器メーカーにセキュリティ対応を求める声が高まりました。1つは、法規制面から一定の対応を要求する施策です。もう1つは、利用者やIoT機器メーカー自身のセキュリティ意識を高め、セキュリティ面の安全性の高い製品が求められる市場への変革を促すという、セキュリティ要件の国際標準化施策です。ここではそれぞれの動向を簡単にお伝えします。

1. 法制化の動向

MIRAIへの感染対策として、日米では2020年にいち早く法律が整備されました。米国のカリフォルニア州やオレゴン州では住民保護を目的に、インターネットに接続する製品を州内で製造または販売する法人に対し、主に、端末へのユーザアクセス制限機能となるIDとパスワードに関するセキュリティ要件を満たすことが法律で定められました。これらの州法では特別な適合試験などは要求されていませんが、監査請求などがあった場合にはセキュリティ要件に合った製品であることの説明責任を果たせるよう、準備しておく必要があります。

日本では、総務省が電気通信事業法の技術適合要件において、インターネットに直接接続する端末を対象に最低限のセキュリティ機能要件として、カリフォルニア州同様のIDとパスワードに関する要件や電源喪失後の回復に関する要件などを求め、2020年4月より施行されました。事業者はこれまでの通信機器としての適合試験をパスすることに加えて、これらの要件に適合する必要があります。

一方、英国政府は独自の視点から法制化を目指しています。2018年には市場に対して「Code of Practice for Consumer IoT Security（消費者向け IoT 製品のセキュリティに関する行動規範）」という13箇条の提言を行い、その中から主に3つの要件を抽出し、「PSTI法⁵」として法制化する方針を固めました。要件の１つは、「工場出荷時のデフォルトパスワードの禁止」という日米と似た要件ですが、IoT機器メーカーに対する要件がある点が特徴的です。その要件とは「脆弱性⁶情報の公開方針を開示すること」、および「消費者に対して製品のアップデート（脆弱性の改修）の提供があるのか、あるのであればその提供期間を提示すること」というものです。

2.国際標準化の動向

2015年頃から日米欧の各地域でIoTセキュリティに関するガイドラインの議論が官民の間で活発化しました。そして乱立気味のガイドラインを世界で統一していこうという機運が高まり、国際標準化する流れになりました。

日本では、総務省と経済産業省が協力して2016年に発行した「IoTセキュリティガイドラインv1.0」を基に2つの国際標準⁷に貢献しました。一方、米国はNIST⁸がとりまとめたIoTセキュリティに関するベースライン（最低）要件（NISTIR 8259A）と同様のものをISO/IEC⁹へ提案しています。これは米国独自要件とならないように国際協調を図る動きかもしれません。

欧州では、英国がETSI¹⁰と協力し、前述の13箇条を「欧州国際標準EN 303 645」としてリリースしました。これは対応すべき点が13項目と絞られていて理解しやすい点と、技術的な評価手法もTS 103 701に整備された点が評価されたと思われ、多くのIoT企業が参照しています。EN 303 645の要件を満たした製品であることを示す民間認証サービスも始まっており、利用者のセキュリティ意識へ訴求する動きも出てきています。

まとめ

以上のように、IoT機器のセキュリティ問題が顕在化し、法規制や国際標準の整備が進んでいます。利用者のセキュリティへの関心の高まりもあり、利用者から信頼されるIoT機器メーカーとなる対策として「PSIRT」を備える動きが国際的に広まりつつあります。

未知の脆弱性は予見できなくても、過去の事例を参考として、再発防止策を整備することは少なくとも可能です。過去事例から予見可能な問題への対策を講じることや、すでに発覚しているセキュリティ問題への早急な改修や復旧対応を行うことを怠った場合には、メーカーの社会的責任が問われる可能性があります。実際に、訴訟やリコールに発展した事例も既に見られます。

IoT機器を提供するメーカーとして、製品のセキュリティ品質（セキュリティ面の安全性）を確保することは、コンプライアンス活動の一環としても重要になってきています。そして、製品を構成するソフトウェア部品がセキュリティの問題を抱えていないかを確認する責任、そして問題があった場合には適切に対処に応じる責任があります。その上でPSIRTは、製品の安全性を担保できる組織をリードするにあたり、重要な役割を担うでしょう。

¹ Product Security Incident Response Team、製品セキュリティインシデント対応チーム

² NICTER：“ニクター”、ダークネットと呼ばれる未使用のIPアドレスに対する攻撃パケットを大規模に観測するNICTのシステム

³ Botnet：“ボットネット”。ウィルス感染により悪意ある攻撃者の指令に従うようロボット化された機器の集団

⁴ DDoS: “ディードス”、Distributed Denial of Service。分散型サービス停止

⁵ the Product Security and Telecommunications Infrastructure Bill

⁶ 脆弱性：ソフトウェアなどにおけるセキュリティ上の弱点

⁷ ISO/IEC 27400:2022　IoT security and privacy — Guidelines、およびISO/IEC 30147:2021 Internet of Things (IoT) - Integration of IoT trustworthiness activities in ISO/IEC/IEEE 15288 system engineering processes（IoTシステム全体の信頼性を確保する視点のガイドライン）

⁸ NIST: National Institute of Standards and Technology, 米国標準技術研究所

⁹ ISO/IEC 27402.2 IoT security and privacy — Device baseline requirements

¹⁰ ETSI: European Telecommunication Standards Institute, 欧州電気通信標準機構

執筆者

奥山謙

ディレクター, PwCコンサルティング合同会社

韓欣一

マネージャー, PwCコンサルティング合同会社

「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす

8 results

2023-05-17

「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす：PSIRTの将来―PSIRT 2.0とは―

製品セキュリティ対応体制とは～実効性あるPSIRT構築に必要な機能シリーズの最終回となる今回は、PSIRTが直面している課題について概説するとともに、PSIRTが将来どのような存在になっているべきか、フェーズ2.0としてどのような姿に変革すべきか解説します。

2023-04-12

「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす：PSIRTの取り組み拡充に向けて（その2：各取り組み成熟度の高度化編）

これまでにセキュリティ問題を未然に防止する、出荷前に行なうPSIRTの取り組みについて解説しました。今回は、PSIRT本来のセキュリティ対応の機能を高度化し、成熟度を上げていくための取り組みについて取り上げたいと思います。

2023-02-28

「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす：PSIRTの取り組み拡充に向けて（その1：シフトレフト編）

製品セキュリティ対応体制とは～実効性あるPSIRT構築に必要な機能シリーズの第6回となる今回は、PSIRTの取り組み対象を製品開発プロセスの上流へ拡充していくことについて解説します。

2023-02-03

「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす：PSIRTに求められる人材

製品セキュリティ対応体制とは～実効性あるPSIRT構築に必要な機能シリーズの第5回となる今回は、PSIRTの取り組みに求められる人材について解説します。

PSIRTが認知すべき海外法規制解説

6 results

2023-09-01

2024年の「U.S. Cyber Trust Mark」開始に向け、米国市場にスマートデバイスを販売するメーカーがとるべき対応

2024年に予定されているU.S. Cyber Trust Markの導入により、米国市場ではIoT製品のセキュリティ品質に対する消費者の認識が高まることが想定されます。購買行動の変化や認証取得の要件、関連する国際動向など、米国市場で事業を展開する製造者が考慮すべきポイントを解説します。

2023-08-28

欧州サイバーレジリエンス法（案）パブリックコメントを反映した3つの主な論点

2022年9月に公表された欧州サイバーレジリエンス法（EU Cyber Resilience Act）（案）は23年1月からのパブリックコメントによる意見収集を経て、23年3月と5月にその修正案が示されました。本稿では、その修正案の主な論点について整理したいと思います。

2023-08-25

IoT製品サイバーセキュリティラベリングプログラム「U.S. Cyber Trust Mark」、米国の方針

2024年中の開始が予定されているU.S. Cyber Trust Markプログラムについて、米国における消費者IoT製品セキュリティ政策の動向や米国の方針を踏まえながら解説します。

2023-07-28

欧米企業の欧州サイバーレジリエンス法案（EU Cyber Resilience Act）対応準備状況～見えてきた日本企業との大きな温度差～

欧州連合で議論が進んでいるデジタル製品のセキュリティ対策を義務付ける新法「サイバーレジリエンス法案」について、現時点での欧米企業の対応準備状況と、日本企業が改めて認識すべき課題を提言します。

本件に関する

お問い合わせ