「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす:PSIRTの将来―PSIRT 2.0とは―
製品セキュリティ対応体制とは~実効性あるPSIRT構築に必要な機能シリーズの最終回となる今回は、PSIRTが直面している課題について概説するとともに、PSIRTが将来どのような存在になっているべきか、フェーズ2.0としてどのような姿に変革すべきか解説します。
「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす:PSIRTの取り組み拡充に向けて(その1:シフトレフト編)
2023-02-28
はじめに
前回は、PSIRTの取り組みを円滑に運用するために求められる3つのPSIRT人材タイプについて取り上げました。今回と次回の2回にわたって、PSIRTの取り組みの2つの拡充の方向性を議論したいと思います。まず今回はPSIRTの取り組み対象を製品開発プロセスの上流へ拡充していくことについて解説します。
シフトレフトによるPSIRTの対象範囲の拡大
これまでは、PSIRTの名の通り、製品を販売・リリースした後のインシデント対応や脆弱性の対処といったPSIRTの基本的な取り組み範囲について解説しました。一般的な製品ライフサイクル(企画~設計~評価~製造~販売・リリース~運用~廃棄)において、インシデント対応は「運用」フェーズでの事後対応になります。
しかしながら、製品メーカーでは一般的に、製品の安全性の品質管理において、運用フェーズで事故が起きる度に対策を行う「事後対応」だけでなく、事故を起こさない「未然防止」の考え方を導入し、設計段階から安全性に配慮した製品づくりを行うようになっていることと思います。セキュリティも同様に、製品ライフサイクルの上流(出荷前)にセキュリティの取り組みを加えるという「シフトレフト」の実施により、インシデント発生の未然防止につなげることができます。
こうした上流における取り組みの例をいくつかご紹介します。
製品セキュリティ開発標準の策定
恐らく、製品メーカー各社には、製品開発の標準プロセスという品質を確保するために基本的に踏襲しなければいけないルールが設定されているでしょう。この製品をリリースするまでに行うべき実施事項やチェック項目に、セキュリティに関する実施事項やチェック項目を加えていくことで、セキュリティ品質を高めていくことができます。
開発フェーズごとに実施事項の例を挙げてみます。
企画フェーズ
企画段階では、企画予定の製品分野で過去に起きた脅威事例の収集や、それらの事例を参考に企画製品やユーザーにどういった脅威が襲いかかるかを想定する脅威分析、発生させてはいけない致命的な状況を明確にするリスク評価のほか、上市予定の市場において遵守すべき法規制の要件を洗い出し、対策すべき要件を明確にすることが挙げられます。
設計フェーズ
設計段階では、企画段階で浮き彫りになった脅威から製品やユーザーを守る対策機能や、セキュリティ要件を満たす対策機能、およびセキュリティ上の機微な情報を秘匿するセキュリティアーキテクチャをコストに照らして選択することなどが挙げられます。
実装フェーズ
実装段階では、脆弱性を可能な限り排除するようにコーディングするためのセキュアコーディングルールを設けて実施することや、オープンソースソフトウェア(OSS)など外部リソースを活用する際は最新のセキュリティ対応されているバージョンを選択するといった、可能な限り脆弱性を作りこまないための取り組みが挙げられます。
検証フェーズ
検証段階では、要件を満たしているか、設計通りに動作するか、定めたルール通りに適切にコーディングされているかなどを評価確認(Verification)することが重要です。また、設計から検証までの時間が経過する間に、セキュリティの情勢が変化することもあるので、採用したOSSや暗号化モジュールが古くなっていないか、想定通りのセキュリティ対策が有効に機能しているかなどの有効性検証(Validation)も重要となります。
もし品質評価プロセスが別に策定されていれば、セキュリティ検証ポイントについて併せて改定していくとよいでしょう。
人材教育
セキュリティに配慮した製品を開発する人材の教育もPSIRTが担当できる領域です。誰に対して何を教育するかは、非常に幅広くなりますが、想定される教育内容を以下に例示します。
- 開発部門向け:脅威分析、CVSS値算定、リスク評価、脆弱性の動向・特徴、対策技術、セキュリティアーキテクチャ、セキュアコーディング
- 評価部門向け:脆弱性確認手法(コード静的解析、オープンソースソフトウェア確認、ポートスキャン、既定パスワード辞書攻撃評価、既知の脆弱性評価、ペネトレーションテストなど)
また、セキュアな製品を出荷する上で、開発・品質部門以外の協力も必要となります。会社全体でセキュリティへの意識を向上させ、安全に使える製品として出荷できる製品づくりの文化を醸成していきましょう。社内関係者への教育内容を以下に例示します。
- 事業責任者・経営者向け:セキュリティ情勢や法規制・国際標準の動向、製品業界でのセキュリティ対応の考え方や他社事例、出荷している製品の抱えるセキュリティリスク、社会的責任問題や訴訟事例
- 製品事業企画推進部門向け:出荷している製品の抱えるセキュリティリスク、IoT機器と連携するスマートフォンアプリやクラウドサービスのセキュリティ
- 広報・法務・渉外・顧客サポート部門向け:サプライヤーとの契約時のセキュリティ保守の取り決め、製品業界の管轄当局のセキュリティの考え方や問題発生時の対処方法
- 海外拠点向け:取り扱う製品の抱えるリスク、脆弱性情報を受領する可能性と海外市場での他社のセキュリティ動向や事例、それらの製品開発部門へのフィードバックの必要性、担当地域の法規制や業界標準の監視
管理対象の拡大
IoT機器メーカーでは、主要な販売対象がIoT機器であるため、品質確認もIoT機器を中心に注力的に行われるケースが多く見られます。一方、チェックが甘くなりがちなのが、IoT機器の付属スマートフォンアプリや、連携するオンラインサービスのセキュリティ品質確認です。IoT機器へのセキュリティの配慮は進んでも、スマートフォンアプリやクラウドサービスのセキュリティが疎かになっては、IoTシステム全体のセキュリティレベルは下がってしまいます。
クラウドサービスのセキュリティは、クラウド提供事業者が全て対応してくれるわけではありません。クラウド事業者が提供するセキュリティサービスの範囲とIoT機器を提供するサービス運用側で設定するセキュリティの範囲を確認し、その内容について知識を持っておく必要があります。そして、そういったクラウドに関する知識をIoTサービス運営側の担当者と共有しておく必要があります。また、クラウド利用に関しては、CSIRTにも知見がある場合がありますので、CSIRTとも連携してセキュリティ設定を行うとよいでしょう。
スマートフォンアプリも、IoT機器メーカーでは、自社開発ではなくアプリ開発の専門業者に外注しているケースが多いかと推察します。アプリ開発を発注する際には、機能仕様以外にどのようなセキュリティ要件を出して開発をお願いし、納品時には何を確認するか、など予め基本的なプロセスを定めて、実施してもらう必要があるでしょう。
まとめ
今回は、セキュリティ問題の未然防止となる出荷前に行えるPSIRTの取り組みについて解説しました。次回は、PSIRTの本来のセキュリティ対応の機能を高度化し、成熟度を上げていくための取り組みについて紹介したいと思います。
「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす
8 results
Loading...
「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす:PSIRTの取り組み拡充に向けて(その2:各取り組み成熟度の高度化編)
これまでにセキュリティ問題を未然に防止する、出荷前に行なうPSIRTの取り組みについて解説しました。今回は、PSIRT本来のセキュリティ対応の機能を高度化し、成熟度を上げていくための取り組みについて取り上げたいと思います。
「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす:PSIRTの取り組み拡充に向けて(その1:シフトレフト編)
製品セキュリティ対応体制とは~実効性あるPSIRT構築に必要な機能シリーズの第6回となる今回は、PSIRTの取り組み対象を製品開発プロセスの上流へ拡充していくことについて解説します。
「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす:PSIRTに求められる人材
製品セキュリティ対応体制とは~実効性あるPSIRT構築に必要な機能シリーズの第5回となる今回は、PSIRTの取り組みに求められる人材について解説します。
Loading...
PSIRTが認知すべき海外法規制解説
6 results
Loading...
2024年の「U.S. Cyber Trust Mark」開始に向け、米国市場にスマートデバイスを販売するメーカーがとるべき対応
2024年に予定されているU.S. Cyber Trust Markの導入により、米国市場ではIoT製品のセキュリティ品質に対する消費者の認識が高まることが想定されます。購買行動の変化や認証取得の要件、関連する国際動向など、米国市場で事業を展開する製造者が考慮すべきポイントを解説します。
欧州サイバーレジリエンス法(案)パブリックコメントを反映した3つの主な論点
2022年9月に公表された欧州サイバーレジリエンス法(EU Cyber Resilience Act)(案)は23年1月からのパブリックコメントによる意見収集を経て、23年3月と5月にその修正案が示されました。本稿では、その修正案の主な論点について整理したいと思います。
IoT製品サイバーセキュリティラベリングプログラム「U.S. Cyber Trust Mark」、米国の方針
2024年中の開始が予定されているU.S. Cyber Trust Markプログラムについて、米国における消費者IoT製品セキュリティ政策の動向や米国の方針を踏まえながら解説します。
欧米企業の欧州サイバーレジリエンス法案(EU Cyber Resilience Act)対応準備状況 ~見えてきた日本企業との大きな温度差~
欧州連合で議論が進んでいるデジタル製品のセキュリティ対策を義務付ける新法「サイバーレジリエンス法案」について、現時点での欧米企業の対応準備状況と、日本企業が改めて認識すべき課題を提言します。
Loading...
インサイト/ニュース
20 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(4)メキシコ
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
各国サイバーセキュリティ法令・政策動向シリーズ (3)シンガポール
各国サイバーセキュリティ法令・政策動向シリーズの第3回目として、シンガポールのデジタル戦略やサイバーセキュリティへの取り組みについて、最新情報を解説します。
金融セクターに求められるセキュリティ規制対応―DORAとNIS2指令の関係
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
2025年 Cyber IQ調査 ―生成AIの台頭とデジタル国境の形成に伴うサイバーリスクに企業はどう対応すべきか―
デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。
Loading...
関連情報
サイバーセキュリティ&プライバシー
日本企業がDXを推進し、ビジネスを持続的に成長させていくためには、デジタル時代において必要とされる信頼、すなわち「デジタルトラスト」の構築が求められています。PwCは、サイバーセキュリティ、プライバシー、データの安全性、信頼性などさまざまな観点から、クライアントのデジタルトラスト構築を支援します。
サイバーセキュリティコンサルティング
PwCは、企業のITシステム、OTシステム、IoTの領域におけるサイバーセキュリティ対策を支援します。高度なサイバー攻撃の検知、インシデントが発生した際の迅速な事故対応や被害の最小化、再発防止から対策の抜本的見直しまでさまざまなアプローチを通じ、最適なサイバーセキュリティ対策を実行します。
製品サイバーセキュリティ
PwCでは、デジタル技術で制御されるさまざまな製品における脅威や脆弱性・セキュリティインシデントが発生した際に生じるビジネス上の脅威に備えるための「製品サイバーセキュリティ」対策を支援します