2018年4月24日
PwCコンサルティング合同会社
PwCサイバーサービス合同会社
PwCコンサルティング合同会社(東京都千代田区、代表執行役CEO 足立 晋)とPwCサイバーサービス合同会社(東京都千代田区、代表執行役 足立 晋)は、4月24日、コネクテッド製品のサイバーセキュリティ対策を包括的に支援するサービスを開始しました。
カーナビなどの車載システム、医療機器、テレビなどの家電製品、プリンタ・複合機器などの製品は、インターネットに接続されるコネクテッド化が急速に進んでいます。ネットワークを介してサイバー攻撃を受けるリスクは高まっており、セキュリティを考慮した製品開発およびインシデント対応態勢の整備が急務となっています。
2社は、コネクテッド製品のセキュリティリスクを極小化するために、段階に応じたサービスを包括的に提供します。研究・開発工程での「セキュア開発ライフサイクル(SDLC :Secure Development Life Cycle)構築支援」、製品のハードウェア・ファームウェアに入り込んだ脆弱性を診断する「ハードウェアハッキング」、万が一のサイバーインシデントに対応する「製品セキュリティインシデント対応体制(PSIRT:Product Security Incident Response Team)構築支援」などを提供し、製品の安全性確保を支援します。
製品のセキュリティ上の欠陥である脆弱性は、企画・設計・実装の各フェーズにおいて仕様書、設計書やソースコードに入り込み、何も対処をしないと製品に含まれたまま出荷されます。製品のセキュリティを確保するためには、開発プロセス全体を通じ、脆弱性が入り込んだタイミングで迅速に取り除くことが効果的です。当社は、製品をセキュアに作りこむ開発者視点と、脆弱性を発見する攻撃者視点という2つの異なる観点を組み合わせ、対象製品に最適化されたセキュア開発ライフサイクルの構築を支援します。
製品のセキュリティ対策を検討する場合、攻撃者が対象製品の現物を入手できるという点が、IT/OA機器のセキュリティ対策を検討するときとの大きな差になります。攻撃者は、製品を分解・破壊し内部情報を調査・分析し、脆弱性を特定した上で攻撃を仕掛けます。当社は、現実の攻撃者と同じ条件でハードウェアハッキングを遂行するスキルを持つスタッフを有し、完全ブラックボックステストによる実証評価を通じて、製品に含まれるハードウェアおよびソフトウェアに潜む脆弱性の早期発見を支援します。また、自社で脆弱性を診断・特定するためのスキル習得を目的としたハードウェアハッキング・トレーニングを提供します。
PSIRTは、CSIRT(Computer Security Incident Response Team)が対象とする情報システムにおけるセキュリティインシデント対応とは異なり、製造または販売する製品のセキュリティインシデントに対応するための組織体制です。CSIRTと同様に、セキュリティ情報の収集・検知、発見された問題の分類・分析、問題解決のための製品改修、修正した製品の公開などを担当します。これらに加え、PSIRT活動には、社内外の多様なステークホルダーとの連携、製品特性に合わせたインシデント対応方針の立案、製品インシンデントを発見するための機能開発といった特徴があり、従来の製品品質管理の活動と協調することが求められます。こうした条件を踏まえたPSIRTの体制構築を支援いたします。
2社は、PwCグローバルの3000名を超えるサイバーセキュリティメンバーと連携し、さらに製造業界の企業に対するサービス提供を通じて培った知見を加え、コネクテッド製品のセキュリティ対策を包括的に支援します。
なお、5月25日(金)に「製品サイバーセキュリティセミナー」を当社大手町セミナールームにて開催します。複雑化するコネクテッド製品の開発段階から出荷後までのサイバーセキュリティ対策について、有識者が対策方法をご紹介します。
以上
PwCコンサルティング合同会社は、経営戦略の策定から実行まで総合的なコンサルティングサービスを提供しています。PwCグローバルネットワークと連携しながら、クライアントが直面する複雑で困難な経営課題の解決に取り組み、グローバル市場で競争力を高めることを支援します。
PwCサイバーサービス合同会社は、サイバーセキュリティの専門家、研究者を多数擁しており、PwCグローバルネットワークと連携することで、国内外のサイバーセキュリティ動向に精通したサービスを提供しています。従来の防御主体のセキュリティ対策から脱却し、攻撃を受けることを前提に迅速に対応する“レジリエントセキュリティ”を実現します。
PwCは、社会における信頼を築き、重要な課題を解決することをPurpose(存在意義)としています。私たちは、世界158カ国に及ぶグローバルネットワークに236,000人以上のスタッフを有し、高品質な監査、税務、アドバイザリーサービスを提供しています。
PwCでは、デジタル技術で制御されるさまざまな製品における脅威や脆弱性・セキュリティインシデントが発生した際に生じるビジネス上の脅威に備えるための「製品サイバーセキュリティ」対策を支援します
製品の設計段階から出荷後までを対象に、インシデントなど問題発生時に対応する「PSIRT」体制の構築を支援します。現状分析をもとに脆弱性・インシデント管理の対象となる製品スコープの定義、運営体制検討を行い、脆弱性管理方針の策定をご支援します。
製品セキュリティ品質確保のためには、開発プロセス全体を通じた継続的なセキュリティ活動が必要です。開発者、攻撃者の2つの異なる観点を使い分け、対象製品に最適なセキュリティ活動を構築します。