
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
近年、船舶サイバーセキュリティに関する統一規則(IACS UR E26/E27)の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。PwCコンサルティング合同会社では、船舶におけるセキュリティリスクを可視化し、船舶のライフサイクルを考慮したうえで、組織的および技術的な対策により当該リスクに対するセキュリティ対策の推進を支援します。
2022年4月、IACS(International Association of Classification Societies:国際船級協会連合)は船舶を対象としたサイバーセキュリティに関する2つの統一規則(UR:Unified Requirement)を発行しました。UR E26は船舶、UR E27は船上のシステムおよび機器を対象としており、サイバーセキュリティを確保するために最低限のセキュリティ要件が定められています。2024年7月以降に建造契約される船舶については本規則への対応が必要となります。
IACS UR E26は、船舶のサイバーセキュリティを確保するための統一規則であり、船舶全体に適用されます。これは、船舶の設計および建造段階から運用までの間に、運航に関する舶用機器と船上PCなどのIT関連機器の両方を船舶のネットワークへ安全に統合することを目的としています。また、造船所、船主などの各関係者が、それぞれの立場において設計、製造、運用の各段階でサイバーセキュリティ対策を講じることを求めています。
IACS UR E27は、船上のシステムと機器のサイバーレジリエンスに関する統一規則であり、2024年7月1日以降に建造契約が行われる船舶に搭載されるコンピュータシステムに対して適用されます。
本規則にて定められた基準に応じて、書類審査や立会検査などが必要となり、舶用機器メーカーは、コンピュータシステム資産インベントリ、トポロジー図、セキュリティ機能の試験法案などの各書類の提出と審査、セキュリティ機能の要件に対する立会検査、セキュア開発ライフサイクルの要件に対する立会検査などが求められます。
IACS UR E26/E27対応に向けては、海事分野の関係各社が連携しながらサイバーセキュリティ対応を進めていくことが求められます。
PwCでは、サイバーセキュリティに関する豊富な知識・経験を有するプロフェッショナルが、IACS URE26/E27のレギュレーション対応に加え、船舶および周辺システムにおけるセキュリティリスクの可視化から必要なセキュリティ対応(リスク評価結果に基づくセキュリティ対策の設計・実装、セキュリティ組織体制の整備、セキュリティ教育など)まで一貫して支援します。
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
各国サイバーセキュリティ法令・政策動向シリーズの第3回目として、シンガポールのデジタル戦略やサイバーセキュリティへの取り組みについて、最新情報を解説します。
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
各国サイバーセキュリティ法令・政策動向シリーズの第3回目として、シンガポールのデジタル戦略やサイバーセキュリティへの取り組みについて、最新情報を解説します。