ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
製品サイバーセキュリティ実態調査~サプライチェーン上流と下流で異なる課題:企業を跨いだ業界全体でのPSIRT活動が重要
2022-09-26
PwCコンサルティング合同会社は2022年5月、製品サイバーセキュリティを推進している企業を対象に、セキュリティ対策状況に関する調査を実施しました。
本稿では調査結果を基に、製品サイバーセキュリティの現状と今後求められる製品サイバーセキュリティ施策について解説します。
目的 |
日本の製造業における製品サイバーセキュリティ対応の状況を明らかにする 製品サイバーセキュリティ業務に携わる方へ有益な参考情報を提供する |
調査方法 |
ウェブによるアンケート |
調査対象 |
日本で製造業関連企業において、以下の部門に所属する方々
|
調査期間 |
2022年5月 |
調査数 |
549名 |
脆弱性・インシデント管理
回答者の約40%が脆弱性の収集・分析に課題認識。脆弱性の修正対応の技術力や費用に困難さを感じる。
各社の製品サイバーセキュリティに関する脆弱性管理状況を調査した結果、全体の回答者のうち37.5%が「情報収集作業が困難」、38.4%が「収集した情報と自社製品の関連性の把握が困難」と回答し(図表1)、本来重要である脆弱性のトリアージ・修正対応に着手できていない会社が多数を存在することが分かりました。
また、脆弱性の修正対応を実施している場合でも、回答者のうち38.6%が「修正作業が技術的に困難」、32.4%が「修正費用の捻出が困難」と回答し(図表2)、それぞれ抱えている課題は異なるものの、脆弱性管理について改善の余地があることを認識していることが伺えます。
脆弱性管理を組織として運用するための概要を3点、以下に取りまとめます。
①情報収集から修正対応までの各種活動を行うための事前準備として、プロセスと体制を整備することが必要となります。インシデント管理と併せて対応するためには、PSIRT(Product Security Incident Response Team:製品セキュリティインシデント対応チーム)のような部門横断的な組織を立ち上げることが有効です。
②国内外の幅広い情報源から、関連する情報を収集する必要があります。ただし、闇雲に作業を進めても効率が悪く多大なる工数を要することから、効率よく抽出するためには、業界・社名・製品種別・コンポーネント名といったキーワードを設定することが鍵となります。また、人手をかけるのではなく、自動で脅威や脆弱性に係る情報を収集可能なプラットフォームを構築することも有効です。
③収集した情報と自社製品との関連性を把握するにあたっては、製品のソフトウェアコンポーネントを管理する仕組みづくりが重要です。近年はソフトウェアサプライチェーンに由来するリスクが顕在化する事例が目立っているため、特定業界だけでなく、当該ソフトウェアに係るサプライチェーン全体で、事態の深刻化を未然に防止する動きが注目を集めています。
回答者の約40%は外部からの脆弱性報告を受けた経験なし。
各社の製品サイバーセキュリティに関するインシデント管理状況を調査した結果、全体の回答者のうち40.6%が「外部から自社製品に対する脆弱性報告を受けたことがない」と回答しており(図表3)、インシデント対応の経験が不足している企業が一定数存在することが分かります。
このような課題を払拭するための第一歩として、インシデント対応訓練を実施する企業が増えています。ただし、インシデント対応訓練を漠然と実施するだけでは、かけた工数に見合う効果は得られません。効果的に訓練を実施するためには、前提として「受講者の当事者意識」と「支柱となるプロセスの存在」が非常に重要となってきます。特に訓練プロセスについては、普段の業務においても可能な限り属人的な対応とならぬよう、訓練シナリオのベースとなるプロセスを整備することが求められます。仮にプロセスが整備されている場合でも、適宜改善点を検討した上で、万全の態勢で臨む必要があります。これらの前提を踏まえ、各社の担当者が有する知識や対応能力に応じて訓練のスコープを決定し、シナリオやコンテンツの作成を進めていくこととなります。
それにより、担当者の当事者意識や対応能力を向上させるとともに、運用レベルでのプロセスにおいて課題抽出・改善検討を図ることが可能となるでしょう。
教育
回答者の約96%が製品サイバーセキュリティに関する社員教育を実施。「セキュリティ関連法規、規制」「情報セキュティプライバシー」領域での実施が多い。
各社が製品サイバーセキュリティに関して現在実施している社員教育の内容について調査した結果、96.3%の回答者が自社で何かしらの製品サイバーセキュリティに関する社員教育に取り組んでいると回答しました。ほぼ全ての企業は製品サイバーセキュリティに関する社員教育が必要と考え、実際に実施しています。
一方、実施している教育内容については最も多いものが「セキュリティ関連法規、規制」で全体の39.7%、次いで「情報セキュリティプライバシー」が全体の36.8%という結果(図表4)となり、製品サイバーセキュリティの内容を網羅的に教育できている企業は少ないと考えられます。
また、回答者の役職ごとに結果を比較してみたところ、「インシデント対応」以外の教育内容ついては、回答者の役職が高くなるほど実施している割合が少なくなるという傾向が見られました(図表5)。このことから、多くの企業において意思決定層が製品サイバーセキュリティの全体像を認識していない、またはその内容を理解しないまま統制が取られない形で製品サイバーセキュリティに係る社員教育が実施されているという懸念があります。
次に、各社が今後製品サイバーセキュリティに関してどのような教育内容が必要だと感じているかについて調査しました。その結果、97.5%の回答者がいずれか1つ以上の製品サイバーセキュリティに関する教育内容が必要と回答しており、ほぼ全ての企業が製品サイバーセキュリティに関する教育内容を拡充することが必要だと考えていることが分かります。
内訳では、最も多いものが「セキュリティ関連法規、規制」で全体の34.4.%、次いで「脅威分析」を全体の32.1%が必要と回答しています。
今後自社で必要とされる教育内容を網羅的に洗い出した上で、自社に最適化された継続的な教育計画を策定し、実践していく必要があります。
脅威分析
脅威分析を実施していると答えた回答者のうち、約76%が脅威分析を外部に委託。
各社の製品セキュリティに関する脅威分析状況を調査した結果、全体の回答者のうち、程度に差はあるものの69%が自社の製品に対して何かしらの脅威分析を実施していると回答しました(図表6)。このことから、多くの企業が製品セキュリティ対策において脅威分析が重要であると認識し、実行に移していることが分かります。
また、「脅威分析を実施している」とした回答者のうち、76%が脅威分析の一部、または全てを外部に委託していると答えています(図表7)。その理由としては、そのうちの57%が「自社に対応できる人材が不足しているため」と回答しており(図表8)、自社内で脅威分析を実施するための人材が確保されていないという実態が浮き彫りとなりました。
製品セキュリティの脅威分析は、「資産の洗い出し」「脅威の洗い出し」「リスクアセスメント」の3つの工程によって実施されます。そのうち「脅威の洗い出し」および「リスクアセスメント」においては、最新の脅威動向や脅威分析手法を理解する必要があり、専門的な知見が求められます。専門的な知見を持つ人材を確保したり、育成したりすることは企業の課題だと考えられるものの、そのためには多くの時間とコストを要します。そのため、自社内の人材のみで対応するのではなく、外部委託を活用することが有効となります。自社内の人材不足に対応できるだけでなく、開発者自身が想定していない脅威に対しても対処することができるため、効果的な施策だと考えられます。
サプライチェーンセキュリティ
サプライチェーンの上流と下流で異なる課題意識。製品サイバーセキュリティ強化に向けては企業間連携が不可欠。
サプライチェーンの上流※1に関して35.2%の回答者が「セキュリティ管理体制の整備」にセキュリティ課題があると回答しました(図表9)。一方でサプライチェーンの下流※2に関しては、回答者の38.4%が「サプライヤーが実施するセキュリティ対策の確認、確保」、30.8%が「供給品の脆弱性管理」に課題があると回答しています(図表10)。
サプライチェーンの上流では、多くの回答者が製品サイバーセキュリティガバナンスの要諦である、体制の整備が課題であることを認識しています。一方で、サプライチェーンの下流では、脆弱性管理を含む具体的な対策に課題があると認識しており、上流と下流に対して、異なる課題意識を持っています。
複数のガイドラインが、サプライチェーンセキュリティの重要性に言及する中、多くの企業がサプライチェーンセキュリティの重要性と上流下流の役割を理解し、対策を模索していることが伺えます。引き続き企業間で連携し、課題を解消していくことが求められます。
企業は製品サイバーセキュリティガバナンスを機能させるためセキュリティ管理体制を整備した上で、サプライチェーンの上流および下流の双方で具体的な責任分担や連携方法を整備する必要があります。特に、ソフトウェアサプライチェーンに由来するリスクが顕在化する事例が近年は目立っており、深刻な事態に発展することが懸念されています。企業間でソフトウェアに含まれるコンポーネントの情報をデータベース化し、適切に連携すること(ソフトウェア部品表:SBOM)が求められていますが、それらの情報を脆弱性情報と紐付け、迅速かつきめ細やかな脆弱性管理を実現することは、セキュリティリスクへの有効な手段と考えられます。
※1 サプライチェーン上流 製品やSWを納める企業との関係。
例)自動車部品サプライヤー → 自動車製造OEMの関係
※2 サプライチェーン下流 製品やSWを集め、最終製品を製造する企業との関係。
例)自動車製造OEM → 自動車部品サプライヤーの関係
製品サイバーセキュリティ施策の自動化の必要性
製品サイバーセキュリティに積極的な企業ほど、各工程(特に開発工程)でDevSecOps施策を導入。製品サイバーセキュリティ全般の課題である人材不足を踏まえると、セキュリティ施策の自動化および機械化は必須と言える。
製品サイバーセキュリティに関する人材不足を解決する手段として、前述した社員教育活動は必要かつ有効ではあるものの、製造業全体で人材不足が叫ばれる現状を踏まえると、人材育成のみでこの課題の解決を目指すという判断は不十分と考えられます。
ここで注目したいのは、製品サイバーセキュリティ領域におけるDevSecOps活動についてのデータです。
製品サイバーセキュリティ領域のDevSecOps活動は、工程によって差があるものの、実際に全体の回答者のうち、設計工程では21.1%、実装工程では19.1%、テスト工程では19.1%の割合で既に実施されていることが分かりました(図表11)。また、セキュリティ予算が10億円以上の企業では、さらに導入率が上がる傾向にあり(図表12)、製品サイバーセキュリティ施策の自動化が積極的に進められています。
IT領域で広まっているDevSecOpsは、セキュリティ施策を自動化することがポイントの1つとなります。人材不足に加え、労働人口の減少が予測される日本企業においては、自動化によってセキュリティ品質の担保を人の量や質に頼らないようにすることが重要になるでしょう。
総括
調査結果を通じ、日本の製造業企業は製品サイバーセキュリティに対し、多様な課題を認識しながらも真摯に向き合い、対応を進めている現状が明らかになりました。
製品サイバーセキュリティは従来のITセキュリティと異なり、製造者のコントロール下でない、エンドユーザーの手元で利用されていることから、従来のセキュリティ施策・手法では対応できないケースが多く、製品サイバーセキュリティ特有の活動が求められる分野です。これまでにない新しい取り組みを進めるにあたっては、どこまでコストと時間をかけて対応すべきなのか、判断に迷う部分もあるでしょう。その線引きに明確な答えは無く、各社さまざまなガイドラインや業界動向を参考にしながら対応しているのが実情です。
一方で、Web3.0に代表される最新テクノロジーの波は、製品そのものの機能の多様性を加速させ、製品サイバーセキュリティ対策が必要な範囲を拡大させています。もはや、各社が自社のみで対応することは現実的ではなくなってきていると言えるでしょう。日本の製造業関連企業は、製造業全体、製品ごと、サプライチェーンのそれぞれにおいて適切な協力関係を構築することで、企業間連携のためのルール作成、最先端の施策の導入および評価など、効果的な製品サイバーセキュリティ対策を実現することが求められています。
本稿が製品サイバーセキュリティの対応を推進する皆様にとって、現状を理解する一助になれば幸いです。
脆弱性管理の実効力を高めるSBOM
11 results
Loading...
欧州サイバーレジリエンス法~製造業が今すぐに取るべき対策~
欧州サイバーレジリエンス法(CRA)は、デジタル要素を含む製品のサイバーセキュリティを強化するための規則です。対象製品は規則に準拠していることを示すCEマークが必要となります。本稿では、製造業者が対応すべきCRAの法令要件の範囲やCEマーク利用のための適合性評価の流れを解説します。
サイバーセキュリティリスクが高まる今こそ見直したいCSIRT成熟度―SIM3活用による企業レジリエンスの向上―
サイバーセキュリティリスクが増している現状において、企業のセキュリティ対応の要となる組織の1つがCSIRTです。日本のCSIRTによく見られる課題や、CSIRTの成熟度評価、それを行うメリットを解説します。
日本企業の欧州サイバーレジリエンス法対応実態調査~SBOM活用状況と活用に向けた課題
PwCコンサルティング合同会社は2023年10月、日本国内の製品メーカーで働く580人を対象に、セキュリティ対策状況に関する調査を実施しました。本稿では調査結果を基に、日本の製品メーカーの製品セキュリティに対する意識・対応状況について解説します。
Loading...
インサイト/ニュース
20 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
Loading...
