脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
信頼でつながるセキュアなモビリティ社会の実現:コネクテッドカー・サイバーセキュリティ
車がデジタル化されるこれからのモビリティ社会においては、車の開発から廃棄までライフサイクル全てのフェーズでセキュリティ対策が必要です。PwCはデジタル化されるモビリティ社会の信頼構築を支援します。
0:01:57
Video Player is loading.
IoT製品を狙ったサイバー攻撃の激増
さまざまなモノがインターネットにつながるIoT(Internet of Things:以降IoT)は、自動車、家電製品、医療機器、防衛装備品、航空宇宙関連機器などの組み込み機器・製品群から、工場・プラントなどの設備(制御システム、エネルギープラントなど)に至るまで、急速に普及しています。
PwCグローバル情報セキュリティ調査によると、IoT機器が組み込まれた製品(以降、IoT製品)・制御システムを標的としたサイバー攻撃を受けたと回答した企業は、前年と比較して激増しています。(図1)今後、IoT製品を標的としたサイバー攻撃の一層の増加が予想されます。
【図1】IoTデバイスおよびシステムへの攻撃
製品メーカーに求められる新たなビジネスモデル
車両システムの脆弱性発覚、世界規模のランサムウェア攻撃による工場稼働停止や医療機関のシステムダウンといった新たなサイバーリスクが顕在化しています。自動車、医療設備、防衛設備などで被害が出ると生死にかかわる可能性があり、機器メーカーは、情報システムはもちろん、製品、設備を含む事業全体のセキュリティを担保することが急務となっています。
これまで製品メーカーの役割は、製品を製造し、その製品の品質を保証することでした。
工業製品を製造していた製品メーカーがIoT機器などコネクテッド製品メーカーに生まれ変わるということは、その製品をインターネットに接続させるという単純なことではなく、製品の開発・試験・運用やその関連プロセス、製品のライフサイクル、顧客とのコミュニケーション手段や頻度、社外の技術者コミュニティのかかわり方など、あらゆるものを変革し、製品の設計段階から出荷後に至るまで製品のライフスタイルを通じたビジネスモデルを作り上げる必要があります。
つながる製品・設備のサイバーセキュリティ
IoT機器などコネクテッド製品における脆弱性対策は、「研究開発」「製造」「市場利用」「廃棄」の製品ライフサイクル全体を包括したセキュリティプロセスを考える必要があります。製品ライフサイクル複数の事業部門に加え、社外のサプライヤーを含む体制構築が必要になります。
また、ユーザーが所有する製品の継続的なセキュリティ確保(一般的には5年から10年)が必要になります。
セキュアな製品確保・維持のため、多くのステークホルダを巻き込んだセキュアなプロセスを構築・対応体制を構築し、長期的な対応が必要です。
【図2】市場流通後のセキュリティの必要性
製品サイバーセキュリティリスク対策の全体像
企業におけるサイバーリスクへの対策には、サプライチェーンも含めた製品ライフサイクルの各フェーズにおいて必要とされるセキュリティ対策の実施が必要です。
※SDLC:Secure Development Life Cycle
いま求められる製品のサイバーセキュリティの対策とは
PwCでは、業種・業界や製品特性を踏まえた、最適なPSIRT(製品セキュリティインシデント対応)体制、製品のセキュリティ開発手順の確立とプロセスの構築、ハードウェアハッキングなどを総合的に支援する製品のサイバーセキュリティ対策に向けたサービスをご用意しています。
IoT適合性評価制度認証取得支援サービス
IoTセキュリティ適合性評価制度における認証・ラベル取得に必要な評価および手続きや、本制度への対応を起点とした事業横断的な活動を実現するスキーム作りなどを支援します。
詳細はこちら
自動車業界向けSBOM(ソフトウェア部品表)活用ライフサイクル構築支援
サプライチェーン全体で製品セキュリティ品質を確保する施策として注目されているSBOMを活用したセキュリティ施策の高度化を支援します。
詳細はこちら
セキュア開発ライフサイクル(SDLC :Secure Development Life Cycle)構築支援
製品セキュリティ品質確保のためには、開発プロセス全体を通じた継続的なセキュリティ活動が必要です。開発者、攻撃者の2つの異なる観点を使い分け、対象製品に最適なセキュリティ活動を構築します。
詳細はこちら
製品セキュリティインシデント対応体制(PSIRT)構築支援
製品の設計段階から出荷後までを対象に、インシデントなど問題発生時に対応する「PSIRT」体制の構築を支援します。現状分析をもとに脆弱性・インシデント管理の対象となる製品スコープの定義、運営体制検討を行い、脆弱性管理方針の策定をご支援します。
詳細はこちら
セキュアプロセスの構築支援
セキュリティ品質を維持するために、必要なプロセスの構築から運用までを支援します。
詳細はこちら
UNR155 (WP29/CSMS) 対応支援サービス
国連欧州経済委員会のの自動車基準調和世界フォーラム(WP29)で策定された、自動車のサイバーセキュリティ対応の国連標準「UNR155」への対応を支援します。
詳細はこちら
PSIRTが認知すべき海外法規制と企業実務の論点
Loading...
中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
オーストラリアサイバーセキュリティ法 ―製造業者がこれから取るべき対策―
オーストラリアサイバーセキュリティ法では、製品セキュリティにかかるセキュリティスタンダードへの準拠義務や身代金支払い報告義務などが定められています。製造業者や販売者の義務と、対応を効率化するためのアプローチについて解説します。
Loading...
「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす
8 results
Loading...
「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす:PSIRTの将来―PSIRT 2.0とは―
製品セキュリティ対応体制とは~実効性あるPSIRT構築に必要な機能シリーズの最終回となる今回は、PSIRTが直面している課題について概説するとともに、PSIRTが将来どのような存在になっているべきか、フェーズ2.0としてどのような姿に変革すべきか解説します。
「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす:PSIRTの取り組み拡充に向けて(その2:各取り組み成熟度の高度化編)
これまでにセキュリティ問題を未然に防止する、出荷前に行なうPSIRTの取り組みについて解説しました。今回は、PSIRT本来のセキュリティ対応の機能を高度化し、成熟度を上げていくための取り組みについて取り上げたいと思います。
「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす:PSIRTの取り組み拡充に向けて(その1:シフトレフト編)
製品セキュリティ対応体制とは~実効性あるPSIRT構築に必要な機能シリーズの第6回となる今回は、PSIRTの取り組み対象を製品開発プロセスの上流へ拡充していくことについて解説します。
「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす:PSIRTに求められる人材
製品セキュリティ対応体制とは~実効性あるPSIRT構築に必要な機能シリーズの第5回となる今回は、PSIRTの取り組みに求められる人材について解説します。
Loading...
脆弱性管理の実効力を高めるSBOM
11 results
Loading...
ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
欧州サイバーレジリエンス法~製造業が今すぐに取るべき対策~
欧州サイバーレジリエンス法(CRA)は、デジタル要素を含む製品のサイバーセキュリティを強化するための規則です。対象製品は規則に準拠していることを示すCEマークが必要となります。本稿では、製造業者が対応すべきCRAの法令要件の範囲やCEマーク利用のための適合性評価の流れを解説します。
サイバーセキュリティリスクが高まる今こそ見直したいCSIRT成熟度―SIM3活用による企業レジリエンスの向上―
サイバーセキュリティリスクが増している現状において、企業のセキュリティ対応の要となる組織の1つがCSIRTです。日本のCSIRTによく見られる課題や、CSIRTの成熟度評価、それを行うメリットを解説します。
日本企業の欧州サイバーレジリエンス法対応実態調査~SBOM活用状況と活用に向けた課題
PwCコンサルティング合同会社は2023年10月、日本国内の製品メーカーで働く580人を対象に、セキュリティ対策状況に関する調査を実施しました。本稿では調査結果を基に、日本の製品メーカーの製品セキュリティに対する意識・対応状況について解説します。
Loading...
インサイト/ニュース
20 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
各国サイバーセキュリティ法令・政策動向シリーズ(4)メキシコ
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
各国サイバーセキュリティ法令・政策動向シリーズ (3)シンガポール
各国サイバーセキュリティ法令・政策動向シリーズの第3回目として、シンガポールのデジタル戦略やサイバーセキュリティへの取り組みについて、最新情報を解説します。
各国サイバーセキュリティ法令・政策動向シリーズ (2)インド
各国サイバーセキュリティ法令・政策動向シリーズの第2回目として、インド政府のデジタル戦略と組織体制、セキュリティにかかわる法律および規則とその動向などについて最新情報を解説します。
Loading...
