開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2018/08/02

PSIRTとは何か? IoT時代のセキュリティ組織、先行事例にマイクロソフトなど

現在デジタルトランスフォーメーションが最も進んでいる業界は製造業だ。IT化はむしろ遅れていた業界だが、それが最新技術を導入しやすくしている。しかし、クラウド連携が進みIoT化した製品は、従来の保安基準や機能安全に加えてサイバー空間での信頼性・安全性も欠かせない。これには製品の機能だけでなく、組織としてのサポート体制やインシデント対応も含まれる。そこで注目を集めるのが「PSIRT(Product Security Incident Response Team)」だ。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
製品やサービスを守るPSIRTとは?
(©maxsim - Fotolia)

PSIRTとは何か、CSIRTとの違いは?

 メーカーが製品のセキュリティを考える場合、まずは設計段階から必要な機能を考えなければならない。ソフトウェアやファームウェアのセキュリティアップデート、インシデント発生時の対応も必要だ。特に、外部からの悪意のある能動的なサイバー攻撃に対処するための考え方は、これまでの製品安全ではあまりなじみのない考え方だ。

 規格や法令を基準に、想定された範囲での設計・対応では、日々進化するサイバー攻撃への対応は難しい。そこで、製品の開発ライフサイクルを通じて、必要な安全管理、サポート、インシデント対応を実施する組織として「PSIRT(Product Security Incident Response Team)」が注目されている。

 PSIRTの組織の機能としては、CSIRT(Computer Security Incident Response Team)と対をなすものといえる。CSIRTは“企業や組織が管理するシステム”に発生するサイバーインシデントに対応する組織だが、PSIRTは“自社が手掛ける製品やシステム”に対するインシデント対応チームということになる。

 PSIRTとCSIRTは、基本的な機能や役割に共通する部分は多い。一番の違いはPSIRTサービスの対象となる製品は市場に流通し、利用場面や被害が起きる場面が顧客の環境(オフィス、家、ほか)になるという点だ。

注目の背景にある、危機的なIoTのセキュリティ状況

 PSIRTの概念自体は、決して新しいものではない。それが近年、急速に注目を集めるようになった背景には、拡大するIoT機器のセキュリティ状況がある。

 急速に広がるIoT機器は、すでにサイバー攻撃の恒常的な標的となり、社会問題化している。IoTに関連した初期の製品は、スタンドアロン製品に、通信ハードウェア、ネットワークソケットとプロトコルスタックを実装しただけのものが多く、それがインターネットにじか付けされていたりする。設計と運用の両面でセキュリティ対策がなされていない状態だ。

 TELNETやFTPのポートを閉じていないもの、機器へのログインパスワードが固定のもの、LAN内利用を想定して必要なセキュリティ機能を実装していないものは、確実にハッキングされる。このような状況は、新製品では改善されつつあるが、セキュリティ機能を実装し、正しい設定をした製品でも、ファイアウォールの設定やセグメントの設計が不十分で、インターネットからアクセス可能になっていることもある。

 実際にサイバー攻撃を受けた場合、自動車や家電の場合、インシデント対応も多岐にわたる。サイバー攻撃でユーザーに被害が及んだ場合、責任や損害賠償が及ぶことも想定しなければならない。原因が特定できても、それが外部コンポーネントの場合、自社だけの対応ではなくなる。

PSIRTの業務内容はFIRSTの資料が参考になる

 PSIRTが直接かかわる部署、組織は、エンジニアリング・設計部門、サポート部門、製品管理・生産管理部門だろう。もちろん、経営層などとの連携が必要だし、その他の部署も無関係ではないが、PSIRTが直接サービスや機能を提供するのは主にこの3つと考える。

 外部組織としては、他社のPSIRT、セキュリティ関連機関、セキュリティベンダーなどとなる。最終的には製品のエンドユーザーを含めたものがPSIRTのステークホルダーとなる。

 PSIRTの具体的なサービス、関連部署等に提供する機能は何になるだろうか。これについては、FIRST(世界中のCERT、CSIRT組織によって構成される団体)が発表した「PSIRT Services Framework Ver.1.0 Draft」が参考になる。このドキュメントは7月にJPCERT/CCとSoftware ISACによって抄訳が公開されている。

 このドキュメントでは、PSIRTが提供するサービスを次の6つのエリアに分類している。

1:ステークホルダーエコシステムマネジメント
 内外のステークホルダーを明確にし、それらとの連絡、情報共有、報告を行う。2番以降の各種サービスを円滑に展開するため、開発やサポート部門だけでなく、経営層やビジネスユニット、外部組織とのコミュニケーションを確立する。

2:脆弱性の発見
 製品に含まれる脆弱性を発見する作業と機能。脆弱性の発見には、外部機関の報告、ユーザーからの報告、バグ懸賞金、研究者らの発表やブログ・専門カンファレンス、それに製品テスト、アセット管理による静的検査などの方法がある。

3:脆弱性情報のトリアージと分析
 発見された脆弱性を評価し、実際の対応を起す。報告、発見された脆弱性のトリアージの基準、手順を明確化し、評価分析し、各部への連絡や対策を行う。ここでは、発見者との関係構築、連携強化も行う。評価分析では、その基準項目と問題の再現性のテストが必要となる。

【次ページ】CSIRTとPSIRTは分離すべきか?

製造業IT ジャンルのセミナー

製造業IT ジャンルのトピックス

製造業IT ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!