「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす:PSIRTの将来―PSIRT 2.0とは―
製品セキュリティ対応体制とは~実効性あるPSIRT構築に必要な機能シリーズの最終回となる今回は、PSIRTが直面している課題について概説するとともに、PSIRTが将来どのような存在になっているべきか、フェーズ2.0としてどのような姿に変革すべきか解説します。
「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす:PSIRTの取り組み拡充に向けて(その2:各取り組み成熟度の高度化編)
2023-04-12
はじめに
連載「『PSIRT徹底解説』製品セキュリティ統括組織PSIRTの全貌を解き明かす」の第7回では、セキュリティ問題を未然に防止する、出荷前に行なうPSIRTの取り組みについて解説しました。今回は、PSIRT本来のセキュリティ対応の機能を高度化し、成熟度を上げていくための取り組みについて取り上げたいと思います。
PSIRTとしての成熟度の高度化
本来のインシデント対応をより高度に実施し、取り組みの成熟度を上げていくことは重要です。足固めができたら、以下の事例を参考に高度化に向けた取り組みを進めてみてはいかがでしょうか。
脆弱性情報の検知能力の高度化
業界団体のセキュリティWGや業界ISACへの加盟
日々多くの脆弱性情報が飛び交う中、自社製品に関係のあるものをいかに効率的かつ迅速に入手するかは、PSIRTの重要な課題です。自社製品に関わる脆弱性情報を入手する方法の1つとして、業界団体のセキュリティ・ワーキンググループ(WG)や業界ISAC1に加盟するということが挙げられます。
同業他社の製品の脆弱性は、自社の製品が狙われる点を把握する上で参考になる可能性があります。また業界の標準として普及しているミドルウェアが自社製品に搭載されていれば、他社と同じ脆弱性を抱えることになります。普段は競合関係にあったとしても、脆弱性情報を共有し、業界全体で攻撃に備える「ISAC」という取り組みは世界でも増えています。
SBOMを活用した監視
市場で稼働しているIoT機器のSBOM2を正確に整備し、日頃開示される脆弱性情報と突合させて該非判断を自動化する仕組みを作り、自社製品に対する該非判断を効率化することも検知能力を上げる方法の1つです。人間の目だけでは全ての情報を見切れませんし、脆弱性情報を見逃す、漏れるといった問題を完全に排除することはできません。
外部のセキュリティ知識の活用
社会的インパクトの大きい重要インフラ向けのIoT機器の場合、外部の脅威インテリジェンスやハッカーとのネットワーキングを活用することで、公開されていないレベルの情報を入手するなど、早期に脅威の予兆を掴むことも有効な方法となります。また、発覚した脆弱性のインテリジェンスによる詳細な分析情報は、トリアージをする際のExploitability(悪用可能性)を見極める際などにも有効な場合があります。
インシデント対応能力の高度化
社内で策定したインシデント対応手順を国際的に認められた手順に合わせていくことも、インシデント対応がしっかりと行える組織として対外的に認められる上で大切になります。国際標準としては、脆弱性の取り扱いプロセスを記載した「ISO/IEC 30111」や、脆弱性情報の開示・公表について記載した「ISO/IEC 29147」があります。この2つの取り組みは、下図のように相互に関連しています。
インシデント対応訓練
インシデント対応は日常的に起きていることではないので、訓練を通じてインシデント対応の動きに慣れておく必要があります。自社製品に当てはまる脆弱性情報を受領した時や、顧客にインシデントが発生した時のシナリオを作成し、製品の開発部門や品質保証部門など社内の関係部門を巻き込んで、問題が発生した想定で演習を定期的に実施することが求められます。その際には、標準プロセスに沿って「誰が」「何を」「どのような手順で進めるか」ということを日頃から確認できるようにします。
この時、さまざまなイレギュラーなケースをシナリオに盛り込み、誰に判断を仰ぐかといった訓練を行えると、さらによいでしょう。例えば、発売完了となっている製品のインシデントにおいて対策を検討できる開発者が社内に残っていないケース、外注先の成果物のインシデントにおいて外注先と対応条件(改修する/しない、改修費用、改修期間など)に関して合意できないケース、脆弱性報告者とうまく折り合いがつかず対策前に脆弱性情報が開示されてしまったケースなど、イレギュラーケースによる応用力を醸成していくことも重要です。
このような演習や実際のインシデント対応の経験を通じて、標準的な手順に不備などが発覚すれば、それらに対処する形で標準的な手順を改良していくことも、成熟度を上げていく上で大切になります。
自社のPSIRTの取り組みや成熟度を確認し、高度化する方法として、FIRST3の提供する以下の文書も参考にするとよいでしょう。
まとめ
今回は、セキュリティ問題の未然防止となる出荷前に行えるPSIRTの取り組みについて解説しました。最終回となる次回は、PSIRTの本来のセキュリティ対応の機能を高度化し、成熟度を上げていくための取り組みについて紹介したいと思います。
1 ISAC:Information Sharing and Analysis Center
2 SBOM:Software Bill of Material
3 FIRST:Forum of Incident Response and Security Teams、世界各地の企業のCSIRT, PSIRTが集う国際的な非営利団体
「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす
8 results
Loading...
「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす:PSIRTの取り組み拡充に向けて(その2:各取り組み成熟度の高度化編)
これまでにセキュリティ問題を未然に防止する、出荷前に行なうPSIRTの取り組みについて解説しました。今回は、PSIRT本来のセキュリティ対応の機能を高度化し、成熟度を上げていくための取り組みについて取り上げたいと思います。
「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす:PSIRTの取り組み拡充に向けて(その1:シフトレフト編)
製品セキュリティ対応体制とは~実効性あるPSIRT構築に必要な機能シリーズの第6回となる今回は、PSIRTの取り組み対象を製品開発プロセスの上流へ拡充していくことについて解説します。
「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす:PSIRTに求められる人材
製品セキュリティ対応体制とは~実効性あるPSIRT構築に必要な機能シリーズの第5回となる今回は、PSIRTの取り組みに求められる人材について解説します。
Loading...
PSIRTが認知すべき海外法規制解説
6 results
Loading...
2024年の「U.S. Cyber Trust Mark」開始に向け、米国市場にスマートデバイスを販売するメーカーがとるべき対応
2024年に予定されているU.S. Cyber Trust Markの導入により、米国市場ではIoT製品のセキュリティ品質に対する消費者の認識が高まることが想定されます。購買行動の変化や認証取得の要件、関連する国際動向など、米国市場で事業を展開する製造者が考慮すべきポイントを解説します。
欧州サイバーレジリエンス法(案)パブリックコメントを反映した3つの主な論点
2022年9月に公表された欧州サイバーレジリエンス法(EU Cyber Resilience Act)(案)は23年1月からのパブリックコメントによる意見収集を経て、23年3月と5月にその修正案が示されました。本稿では、その修正案の主な論点について整理したいと思います。
IoT製品サイバーセキュリティラベリングプログラム「U.S. Cyber Trust Mark」、米国の方針
2024年中の開始が予定されているU.S. Cyber Trust Markプログラムについて、米国における消費者IoT製品セキュリティ政策の動向や米国の方針を踏まえながら解説します。
欧米企業の欧州サイバーレジリエンス法案(EU Cyber Resilience Act)対応準備状況 ~見えてきた日本企業との大きな温度差~
欧州連合で議論が進んでいるデジタル製品のセキュリティ対策を義務付ける新法「サイバーレジリエンス法案」について、現時点での欧米企業の対応準備状況と、日本企業が改めて認識すべき課題を提言します。
Loading...
インサイト/ニュース
20 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(4)メキシコ
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
各国サイバーセキュリティ法令・政策動向シリーズ (3)シンガポール
各国サイバーセキュリティ法令・政策動向シリーズの第3回目として、シンガポールのデジタル戦略やサイバーセキュリティへの取り組みについて、最新情報を解説します。
金融セクターに求められるセキュリティ規制対応―DORAとNIS2指令の関係
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
2025年 Cyber IQ調査 ―生成AIの台頭とデジタル国境の形成に伴うサイバーリスクに企業はどう対応すべきか―
デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。
Loading...
関連情報
サイバーセキュリティ&プライバシー
日本企業がDXを推進し、ビジネスを持続的に成長させていくためには、デジタル時代において必要とされる信頼、すなわち「デジタルトラスト」の構築が求められています。PwCは、サイバーセキュリティ、プライバシー、データの安全性、信頼性などさまざまな観点から、クライアントのデジタルトラスト構築を支援します。
サイバーセキュリティコンサルティング
PwCは、企業のITシステム、OTシステム、IoTの領域におけるサイバーセキュリティ対策を支援します。高度なサイバー攻撃の検知、インシデントが発生した際の迅速な事故対応や被害の最小化、再発防止から対策の抜本的見直しまでさまざまなアプローチを通じ、最適なサイバーセキュリティ対策を実行します。
製品サイバーセキュリティ
PwCでは、デジタル技術で制御されるさまざまな製品における脅威や脆弱性・セキュリティインシデントが発生した際に生じるビジネス上の脅威に備えるための「製品サイバーセキュリティ」対策を支援します
製品セキュリティインシデント対応体制(PSIRT)構築支援
製品の設計段階から出荷後までを対象に、インシデントなど問題発生時に対応する「PSIRT」体制の構築を支援します。現状分析をもとに脆弱性・インシデント管理の対象となる製品スコープの定義、運営体制検討を行い、脆弱性管理方針の策定をご支援します。