ようこそゲストさん

ビジネス+ITを始める

  • 会員限定
  • 2018/08/02 掲載

PSIRTとは何か? IoT時代のセキュリティ組織、先行事例にマイクロソフトなど

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
現在デジタルトランスフォーメーションが最も進んでいる業界は製造業だ。IT化はむしろ遅れていた業界だが、それが最新技術を導入しやすくしている。しかし、クラウド連携が進みIoT化した製品は、従来の保安基準や機能安全に加えてサイバー空間での信頼性・安全性も欠かせない。これには製品の機能だけでなく、組織としてのサポート体制やインシデント対応も含まれる。そこで注目を集めるのが「PSIRT(Product Security Incident Response Team)」だ。

執筆:フリーランスライター 中尾真二

執筆:フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
製品やサービスを守るPSIRTとは?
(©maxsim - Fotolia)
<目次>
  1. PSIRTとは何か、CSIRTとの違いは?
  2. 注目の背景にある、危機的なIoTのセキュリティ状況
  3. PSIRTの業務内容はFIRSTの資料が参考になる
  4. CSIRTとPSIRTは分離すべきか
  5. PSIRTの役割はセキュリティバイデザインの実践

PSIRTとは何か、CSIRTとの違いは?

 メーカーが製品のセキュリティを考える場合、まずは設計段階から必要な機能を考えなければならない。ソフトウェアやファームウェアのセキュリティアップデート、インシデント発生時の対応も必要だ。特に、外部からの悪意のある能動的なサイバー攻撃に対処するための考え方は、これまでの製品安全ではあまりなじみのない考え方だ。

 規格や法令を基準に、想定された範囲での設計・対応では、日々進化するサイバー攻撃への対応は難しい。そこで、製品の開発ライフサイクルを通じて、必要な安全管理、サポート、インシデント対応を実施する組織として「PSIRT(Product Security Incident Response Team)」が注目されている。

 PSIRTの組織の機能としては、CSIRT(Computer Security Incident Response Team)と対をなすものといえる。CSIRTは“企業や組織が管理するシステム”に発生するサイバーインシデントに対応する組織だが、PSIRTは“自社が手掛ける製品やシステム”に対するインシデント対応チームということになる。

 PSIRTとCSIRTは、基本的な機能や役割に共通する部分は多い。一番の違いはPSIRTサービスの対象となる製品は市場に流通し、利用場面や被害が起きる場面が顧客の環境(オフィス、家、ほか)になるという点だ。

注目の背景にある、危機的なIoTのセキュリティ状況

 PSIRTの概念自体は、決して新しいものではない。それが近年、急速に注目を集めるようになった背景には、拡大するIoT機器のセキュリティ状況がある。

 急速に広がるIoT機器は、すでにサイバー攻撃の恒常的な標的となり、社会問題化している。IoTに関連した初期の製品は、スタンドアロン製品に、通信ハードウェア、ネットワークソケットとプロトコルスタックを実装しただけのものが多く、それがインターネットにじか付けされていたりする。設計と運用の両面でセキュリティ対策がなされていない状態だ。

 TELNETやFTPのポートを閉じていないもの、機器へのログインパスワードが固定のもの、LAN内利用を想定して必要なセキュリティ機能を実装していないものは、確実にハッキングされる。このような状況は、新製品では改善されつつあるが、セキュリティ機能を実装し、正しい設定をした製品でも、ファイアウォールの設定やセグメントの設計が不十分で、インターネットからアクセス可能になっていることもある。

 実際にサイバー攻撃を受けた場合、自動車や家電の場合、インシデント対応も多岐にわたる。サイバー攻撃でユーザーに被害が及んだ場合、責任や損害賠償が及ぶことも想定しなければならない。原因が特定できても、それが外部コンポーネントの場合、自社だけの対応ではなくなる。

PSIRTの業務内容はFIRSTの資料が参考になる

 PSIRTが直接かかわる部署、組織は、エンジニアリング・設計部門、サポート部門、製品管理・生産管理部門だろう。もちろん、経営層などとの連携が必要だし、その他の部署も無関係ではないが、PSIRTが直接サービスや機能を提供するのは主にこの3つと考える。

 外部組織としては、他社のPSIRT、セキュリティ関連機関、セキュリティベンダーなどとなる。最終的には製品のエンドユーザーを含めたものがPSIRTのステークホルダーとなる。

 PSIRTの具体的なサービス、関連部署等に提供する機能は何になるだろうか。これについては、FIRST(世界中のCERT、CSIRT組織によって構成される団体)が発表した「PSIRT Services Framework Ver.1.0 Draft」が参考になる。このドキュメントは7月にJPCERT/CCとSoftware ISACによって抄訳が公開されている。

 このドキュメントでは、PSIRTが提供するサービスを次の6つのエリアに分類している。

1:ステークホルダーエコシステムマネジメント
 内外のステークホルダーを明確にし、それらとの連絡、情報共有、報告を行う。2番以降の各種サービスを円滑に展開するため、開発やサポート部門だけでなく、経営層やビジネスユニット、外部組織とのコミュニケーションを確立する。

2:脆弱性の発見
 製品に含まれる脆弱性を発見する作業と機能。脆弱性の発見には、外部機関の報告、ユーザーからの報告、バグ懸賞金、研究者らの発表やブログ・専門カンファレンス、それに製品テスト、アセット管理による静的検査などの方法がある。

3:脆弱性情報のトリアージと分析
 発見された脆弱性を評価し、実際の対応を起す。報告、発見された脆弱性のトリアージの基準、手順を明確化し、評価分析し、各部への連絡や対策を行う。ここでは、発見者との関係構築、連携強化も行う。評価分析では、その基準項目と問題の再現性のテストが必要となる。

【次ページ】CSIRTとPSIRTは分離すべきか?

関連タグ

関連コンテンツ

記事
製造業IT

リアルな「製造現場のAI導入」、活用事例に見る“成功の法則”とは

人手不足が叫ばれる中、製造業の生産ラインにおける「外観検査」の自動化・省力化は急務だ。そのためにAIを活用することが理想的だが、さまざまな課題により導入に苦慮する企業も少なくない。導入を阻む課題を解決し、製造業の検査業務におけるAI活用を成功に導くポイントについて、実際の成功事例などを交え、フツパー 事業戦略室 室長 染谷 康貴氏が解説した。

動画
製造業IT

パナソニック コネクト執行役員が「製造業は今が面白い」と語るワケ

コロナ禍や米中問題などを背景に製造業のサプライチェーンの分断が進みました。そうした中、多くの企業がDXを通じたサプライチェーン改革に取り組み始めています。しかし、その取り組みに躓く企業も少なくありません。企業はどのような壁に直面しているのでしょうか。パナソニック コネクト 執行役員 ヴァイス・プレジデント Blue Yonder Japan協業推進担当である山中 雅恵氏に課題を乗り越えるポイントについて聞きました。 <目次> ・「現場」特有の課題とは ・自社で検証した「現場最適」の凄すぎる効果 ・DXが空振りに終わる原因とは ・Blue Yonder と目指す「サプライチェーン改革」 ・サプライチェーン関連ビジネスはどう成長していくか? ・製造現場における女性活躍 ・モノづくり「今が面白い」理由

記事
製造業IT

ダイハツが実現する「DXとAI推進」、短期間でのAI人材育成と全社活動が成功したワケ

長らく日本経済をけん引してきた製造業は、現在、デジタル化の遅れが指摘されている。そんな中、ダイハツでは一足早く、2017年にAI活用を開始した。メンバー3人のワーキングチームから始まった取り組みが、今では全社に広がり、DXやAI推進が全社活動となっている。そこで、ダイハツにおけるDX推進やAI活用事例、教育ワークフローについてダイハツ工業 DX推進室データサイエンスグループ 兼 東京LABOデータサイエンスグループ グループ長の太古 無限氏に話を聞いた。

記事
製造業IT

単なる下請けではない?最強の町工場「浜野製作所」の“スゴイ事業”に依頼殺到の理由

近年、EVシフトなどのパラダイムシフトが起こる中、国内製造業はこれまで築き上げてきた製造技術・ノウハウの行き場を失ってしまう危機に直面している。こうした中で、今、培った製造技術・ノウハウの提供先としてスタートアップとの連携に注目が集まっているのだ。今回は、業界でも先陣を切ってスタートアップのものづくり支援をスタートし、今やスタートアップに限らず、大企業からもモノづくりの依頼が殺到する墨田区の浜野製作所のビジネスモデルを解説したい。

記事
製造業IT

三井化学のDXの裏側、2030年に営業利益2500億へ…次世代の化学プラントの在り方

国際化やデジタル化への対応の遅れ、あるいはサプライチェーンリスクやカーボンニュートラルなど、新たな課題に成長を阻まれ、競争力を失いつつある日本の製造業。その起死回生の鍵となるのは、やはりDXだろう。創業110年余の総合化学メーカー、三井化学もまた、DXを軸とした事業改革に挑む日系企業の1つだ。世界規模の社会課題を解決するグローバル・ソリューションパートナーを目指す同社CDOの三瓶 雅夫氏に、新長期経営計画「VISION 2030」にもとづくDX戦略の具体的な取り組みについて聞いた。

記事
製造業IT

【日本企業のDX意識調査】結果まとめ、担当者が共感する“あるある課題”の第1位とは

2023年9月、デジタルトランスフォーメーション(DX)推進の支援、コンサルティングなどを行うINDUSTRIAL-Xは、2020年、2021年、2022年に続いて実施した「DX実現に向けた課題と意向調査2023年版」の結果を発表しました。今回は、この調査で明らかになった、日本企業のDX推進の課題や必要となる新たな検討事項の変化などについて見ていきます。

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample