「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす：PSIRTの全体像

2022-11-28

IoT製品が普及するにつれ、IoT製品のセキュリティに係る問題も目立つようになってきています。この問題に対峙するには、従来の品質対応とは少し異なった体制づくりが求められています。本インサイトシリーズでは、製品セキュリティに対応するための体制「PSIRT¹」に必要となる基本的な取り組みや将来像についてご紹介します。第2回となる今回は、PSIRTが「誰と」「どのような」取り組みをすべきか、組織の全体像について概説いたします。

PSIRTとは、製品の抱えるセキュリティ上の問題（インシデント²）の対処にあたる専門部隊です。各IoT機器メーカーの組織構造によって、サポート役になったり、リード役になったり、決まった形はなく、各社の運用しやすい形でその位置付けを決定して問題ありません。

ただ、セキュリティ問題に対応するのはPSIRTだけではありません。まずPSIRTを取り巻く関係者について説明します。

PSIRTの関係者

製品に起きるインシデントも多様であることから、関係者（ステークホルダー）も問題の内容によって色々な形に変化します。いつ問題が起きるか分からないため、関係者とはさまざまなインシデントに備えて、いつでも連絡が取れる関係を構築しておくことが重要になります。

関係構築に際してまず大事なのは、各関係者は通常それぞれの目的で別の業務を担当していることから、PSIRTとは異なる事情やニーズ、優先事項があることを理解することです。その上で、「誰と」「何のために」「どのように」連絡を取ればよいかを明確にしておくことが肝要となります。下図は、組織内部の部門および外部の関係者について、その概略を示したものです。では、どのような関係者との接点が必要かについて簡単に解説します。

1. 組織内部の関係者

PSIRTの主要な業務となるインシデント対応活動は、緊急的かつ部門横断的な組織活動であり、他部門の担当者に対して通常業務以外の業務を依頼することが必要となる場合もあります。このような活動を進めるには、経営層の理解と支援が必要です。したがって、組織内部の関係者の中でもリーダーである経営層は特別な関係者と言え、経営層の理解や支援を形式的にも実質的にも確実に取り付けておくことが肝要となります。

次に、実際のオペレーションの目線で考えてみましょう。PSIRTは、セキュリティに関する脆弱性情報を受領した場合に備えて、あらかじめ「誰と連絡を取り」「何を伝えるか」という連絡ルートを明確にし、問題発生時にはすぐにそのとおりに動ける態勢を整えておくことが重要です。例えば、脆弱性情報を受領したPSIRTは、該当する製品の連絡先が品質保証部門なのか、設計部門なのかを明確にできていないと、連絡先を探すことから始めることになってしまい、問題解決の初期段階で躓いてしまいます。

PSIRTの役割と責任範囲の明確化も重要です。PSIRTは、連絡窓口や問題のクロージングまでの進捗管理だけを担当するのか、技術的な該非確認も行うのか、製品の品質保証部門にどのタイミングで担当を引き継ぐのか、といったことを定めることが求められます。

また、問題の内容が「製造過程で混入した脆弱性かもしれない」という分析結果だった場合は、製造部門との連絡も必要になりますし、事業に大きく影響する可能性のある問題の場合は、製品を担当する事業責任者や全社のリスク管理部門の対応判断も必要になります。さらに、対外発表が必要となるケースを想定すると、ユーザへの何らかの謝罪や弁済に備えた法的手続きを協議するために広報部門や法務部門などとも連携する必要が出てきます。

セキュリティに関する情報には社内CSIRT³も日頃から接しています。対処する問題の対象や内容が異なるとはいえ、セキュリティ知識のある専門チームですので、製品のインシデント対応においても知識を共有してもらえる関係を築いておくことも大事になります。このように、社内のあらゆる部門と連携できる関係の構築が求められます。

2. 外部の関係者

外部との関係において、PSIRTはその組織を代表する窓口となって、セキュリティ関係者と情報をやりとりすることになります。PSIRTが対応する主な社外関係者は以下のとおりです。

セキュリティの研究者や専門家などの脆弱性情報の報告者
通知された情報どおりに問題が発現するかの確認作業を外部委託する場合のセキュリティ評価者
提供する製品の業界特有のインシデントに関する情報を共有するISAC⁴
新たな脆弱性を発見した際の報告先であり、世界の脆弱性情報（公開前のもの含む）をJPCERT/CC⁵と共有しているIPA⁶
重大な脆弱性が発覚して大規模なサービス停止や機器の回収などを要した際に報告する製品分野の監督官庁
提供する製品を購入頂いたユーザ（エンドユーザだけでなく、製品を提供した納品先も含む）
インシデント対応の際に、問題の特定や対処に協力してもらう、製品を構成するハードウェアやソフトウェアのコンポーネントを納品したサプライヤ

このような外部関係者とも日頃から情報交換を通じて信頼関係を築いておき、いざ問題が発覚した場合に協力的に支援してもらえるようにしておくことが重要です。

PSIRTの取り組み

製品の故障や発煙といった安全性の問題が起きた場合、品質部門などの専門知識を持った担当者が対処をリードすると思います。それと同様にインシデントの対処に必要な取り組みについて基本的な知識を備え、実施できる担当者が集まったのがPSIRTです。したがって、PSIRTのコア機能としてインシデント対処のために何をすべきかの一連の流れをリードできることが必要となります。

サイバーセキュリティの取り組みの基本的なフレームワークとして、実務的にもよく使われているのがNIST7「Cyber Security Framework」です。５つのフェーズのうち、PSIRTは、製品が市場に出た後の運用フェーズにおける問題の「検知－対応－復旧」の取り組み（下図）を主に支援します（特定と防御は製品設計フェーズの取り組み）。それぞれの取り組みについては、次回解説する予定です。

ただ、PSIRTのコア機能は製品のリリース後の取り組みであると説明しましたが、製品の安全性など品質を確保するには、設計段階から品質を確保する必要があります。セキュリティも同様で、設計段階からセキュリティへの配慮と対策が必要であり、セキュリティ問題を未然に防ぐことは、PSIRTが将来対応すべき取り組みの1つになります。

まとめ

以上のように、PSIRTは、脆弱性に関する情報の入手に始まり、改修版とセキュリティ問題に関する情報をリリースしていく一連の流れを、社内だけでなく社外の関係者と必要な情報を共有しながら遅滞なく適切に遂行することが求められます。この基本的な流れを実行できれば、PSIRTの形態は、各社の文化や体制に合った形態を選択してよいのです。

次回は、PSIRTがまず備えるべきの機能（脆弱性対応編）について解説する予定です。

1 Product Security Incident Response Team：製品セキュリティインシデント対応チーム

2 インシデント：セキュリティに影響を及ぼす脆弱性による予期しない問題や脆弱性への外部からの攻撃

3 CSIRT：“シーサート”、社内IT環境の情報セキュリティを担当する部門

4 ISAC：“アイザック”、Information Sharing and Analysis Center、情報共有・分析センター

5 JPCERT/CC：一般社団法人 JPCERTコーディネーションセンター（ Japan Computer Emergency Response Team Coordination Center）。インターネットを介して発生する侵入やサービス妨害等のコンピュータセキュリティインシデントについて、日本国内に関するインシデントの報告を受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行う組織。特定の政府機関や企業からは独立した中立的な立場にある。

6 IPA：独立行政法人情報処理推進機構

7 NIST：National Institute of Standards and Technology, 米国標準技術研究所