ようこそゲストさん

ビジネス+ITを始める

  • 会員限定
  • 2018/08/02 掲載

PSIRTとは何か? IoT時代のセキュリティ組織、先行事例にマイクロソフトなど

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
会員になると、いいね!でマイページに保存できます。
現在デジタルトランスフォーメーションが最も進んでいる業界は製造業だ。IT化はむしろ遅れていた業界だが、それが最新技術を導入しやすくしている。しかし、クラウド連携が進みIoT化した製品は、従来の保安基準や機能安全に加えてサイバー空間での信頼性・安全性も欠かせない。これには製品の機能だけでなく、組織としてのサポート体制やインシデント対応も含まれる。そこで注目を集めるのが「PSIRT(Product Security Incident Response Team)」だ。
執筆:フリーランスライター 中尾 真二
photo
製品やサービスを守るPSIRTとは?
(©maxsim - Fotolia)
<目次>
  1. PSIRTとは何か、CSIRTとの違いは?
  2. 注目の背景にある、危機的なIoTのセキュリティ状況
  3. PSIRTの業務内容はFIRSTの資料が参考になる
  4. CSIRTとPSIRTは分離すべきか
  5. PSIRTの役割はセキュリティバイデザインの実践

PSIRTとは何か、CSIRTとの違いは?

 メーカーが製品のセキュリティを考える場合、まずは設計段階から必要な機能を考えなければならない。ソフトウェアやファームウェアのセキュリティアップデート、インシデント発生時の対応も必要だ。特に、外部からの悪意のある能動的なサイバー攻撃に対処するための考え方は、これまでの製品安全ではあまりなじみのない考え方だ。

 規格や法令を基準に、想定された範囲での設計・対応では、日々進化するサイバー攻撃への対応は難しい。そこで、製品の開発ライフサイクルを通じて、必要な安全管理、サポート、インシデント対応を実施する組織として「PSIRT(Product Security Incident Response Team)」が注目されている。

 PSIRTの組織の機能としては、CSIRT(Computer Security Incident Response Team)と対をなすものといえる。CSIRTは“企業や組織が管理するシステム”に発生するサイバーインシデントに対応する組織だが、PSIRTは“自社が手掛ける製品やシステム”に対するインシデント対応チームということになる。

 PSIRTとCSIRTは、基本的な機能や役割に共通する部分は多い。一番の違いはPSIRTサービスの対象となる製品は市場に流通し、利用場面や被害が起きる場面が顧客の環境(オフィス、家、ほか)になるという点だ。

注目の背景にある、危機的なIoTのセキュリティ状況

 PSIRTの概念自体は、決して新しいものではない。それが近年、急速に注目を集めるようになった背景には、拡大するIoT機器のセキュリティ状況がある。

 急速に広がるIoT機器は、すでにサイバー攻撃の恒常的な標的となり、社会問題化している。IoTに関連した初期の製品は、スタンドアロン製品に、通信ハードウェア、ネットワークソケットとプロトコルスタックを実装しただけのものが多く、それがインターネットにじか付けされていたりする。設計と運用の両面でセキュリティ対策がなされていない状態だ。

 TELNETやFTPのポートを閉じていないもの、機器へのログインパスワードが固定のもの、LAN内利用を想定して必要なセキュリティ機能を実装していないものは、確実にハッキングされる。このような状況は、新製品では改善されつつあるが、セキュリティ機能を実装し、正しい設定をした製品でも、ファイアウォールの設定やセグメントの設計が不十分で、インターネットからアクセス可能になっていることもある。

 実際にサイバー攻撃を受けた場合、自動車や家電の場合、インシデント対応も多岐にわたる。サイバー攻撃でユーザーに被害が及んだ場合、責任や損害賠償が及ぶことも想定しなければならない。原因が特定できても、それが外部コンポーネントの場合、自社だけの対応ではなくなる。

PSIRTの業務内容はFIRSTの資料が参考になる

 PSIRTが直接かかわる部署、組織は、エンジニアリング・設計部門、サポート部門、製品管理・生産管理部門だろう。もちろん、経営層などとの連携が必要だし、その他の部署も無関係ではないが、PSIRTが直接サービスや機能を提供するのは主にこの3つと考える。

 外部組織としては、他社のPSIRT、セキュリティ関連機関、セキュリティベンダーなどとなる。最終的には製品のエンドユーザーを含めたものがPSIRTのステークホルダーとなる。

 PSIRTの具体的なサービス、関連部署等に提供する機能は何になるだろうか。これについては、FIRST(世界中のCERT、CSIRT組織によって構成される団体)が発表した「PSIRT Services Framework Ver.1.0 Draft」が参考になる。このドキュメントは7月にJPCERT/CCとSoftware ISACによって抄訳が公開されている。

 このドキュメントでは、PSIRTが提供するサービスを次の6つのエリアに分類している。

1:ステークホルダーエコシステムマネジメント
 内外のステークホルダーを明確にし、それらとの連絡、情報共有、報告を行う。2番以降の各種サービスを円滑に展開するため、開発やサポート部門だけでなく、経営層やビジネスユニット、外部組織とのコミュニケーションを確立する。

2:脆弱性の発見
 製品に含まれる脆弱性を発見する作業と機能。脆弱性の発見には、外部機関の報告、ユーザーからの報告、バグ懸賞金、研究者らの発表やブログ・専門カンファレンス、それに製品テスト、アセット管理による静的検査などの方法がある。

3:脆弱性情報のトリアージと分析
 発見された脆弱性を評価し、実際の対応を起す。報告、発見された脆弱性のトリアージの基準、手順を明確化し、評価分析し、各部への連絡や対策を行う。ここでは、発見者との関係構築、連携強化も行う。評価分析では、その基準項目と問題の再現性のテストが必要となる。

【次ページ】CSIRTとPSIRTは分離すべきか?

関連コンテンツ

キーエンスの“圧倒的営業”を生む「数値化と仕組み化」とは? ついに明かされるその技法

製造物責任法(PL法)とは?わかりやすく解説、「損害賠償金」支払った10社の事例紹介

JFEスチールはいち早くAI導入で何をした?「製造業を変える」本気のDX/AI戦略
関連タグ タグをフォローすると最新情報が表示されます

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample