Introduction
企業が開発・製造を行う製品やサービスを介して、サイバー攻撃の被害が起こってしまった場合、企業の信頼が大きく失墜してしまいます。そのような事態を避けるために必要なのが、PSIRTです。PSIRT(Product Security Incident Response Team)とは、企業が製造や開発を行う製品・サービスに対して、セキュリティの向上やインシデント対応を行う組織のことです。
ここでは、PSIRTについて、その業務内容や確立する際のポイントなどを解説します。
目次
PSIRT(ピーサート)とは?
PSIRTとは、一体どのようなものなのでしょうか。
ここでは、PSIRTの基本概要やCSIRTとの違い、PSIRTが必要とされている背景について解説します。
自社の製品・サービスにおけるインシデントに対応するための体制
PSIRT(Product Security Incident Response Team)とは、企業が製造や開発を行う製品・サービスに対して、セキュリティの向上やインシデント対応を行う組織のことです。日本語に訳すと、製品セキュリティインシデント対応チームとなります。
独立行政法人情報処理推進機構の『サイバーセキュリティ経営ガイドラインVer3.0』によると、PSIRTは以下のとおり定義されています。
PSIRT
自社の製品・サービスに関するインシデントの発生に対応するための体制
PSIRTは、製品・サービスの安全性を高め、万が一インシデントが発生した際に、ユーザーサポートなどの対応を行う組織です。具体的には、脆弱性に関する情報の収集や製品・サービスのセキュリティの強化、インシデント発生時の対応などの業務を行います。
CSIRTとの違い
PSIRTとよく似た言葉に、CSIRT(Computer Security Incident Response Team)というものがあります。読み方は「シーサート」です。
PSIRTの対象は、企業が製造・開発を行う製品やサービスであるのに対し、CSIRTの対象は企業や組織の情報資産です。
企業や組織は、自社の情報資産を守るために、セキュリティ対策を行う必要があります。具体的には、日常的に脆弱性情報を集めて分析する、万が一セキュリティインシデントが発生した際の対応などが必要です。
このように、PSIRTとCSIRTは役割が似ていますが、その対象が異なることがわかります。
▽あわせて読みたい▽
>>CSIRT(シーサート)とは?必要な理由や役割について解説のページへ
関連サービスについて
PSIRTが必要とされている背景
PSIRTが必要とされている背景には、IoT機器の普及とともに、IoTを狙うサイバー攻撃が増加したことがあります。
IoT(Internet of Things)とは、家電製品や自動車などの「モノ」に、インターネットを接続するという概念です。たとえば、外出先から家のエアコンや照明を遠隔操作する、工場の機械をセンサーで監視するIoT機器が存在します。
このようなIoT機器が普及する一方で、IoT機器を狙うサイバー犯罪も急増しています。たとえば、街のなかに存在する監視カメラのIoT機器に侵入して映像情報を盗み見る、家電のIoT機器を介して個人情報を盗むなどの被害が実際に起きているのです。
IoT機器やそのシステムを開発する企業としては、自社が製造・開発した製品やサービスが、サイバー攻撃の被害にあわないように対策を行う必要があります。セキュリティインシデントが起こると、製品の回収などの対応に追われ、企業の信用の失墜にもつながります。そのような事態を起こさないために、必要とされているのがPSIRTです。
PSIRTの業務内容
PSIRTによって、企業が製造・開発する製品・サービスの安全管理や、インシデント発生時の対応が行われます。ここでは、その具体的な業務内容についてご説明します。
脆弱性に関する情報を収集する
製品やサービスのセキュリティレベルを高めるためには、脆弱性情報を正しく把握し、対処する必要があります。PSIRTでは、脆弱性に関する情報を収集する業務を行います。
脆弱性とは、OSやソフトウェアなどに存在する、プログラムの不具合や設計のミスなどによるセキュリティ上の欠陥です。パソコンやサーバー、ネットワーク機器など、あらゆる場所に脆弱性が存在するため、日ごろから対策を行うことが求められています。
そのためには、つねにOSやソフトウェアなどを最新の状態にアップデートし、脆弱性を修正するパッチをあてる必要があります。さらに、どのような脆弱性が存在するのか、どのような被害が起こりうるのかなどを把握しておくことも重要です。
PSIRTは、ISAC(Information Sharing and Analysis Center)やオープンソースコミュニティなどを通じて、脆弱性情報を収集します。また収集した情報を分析して、脆弱性のリスクの優先度を把握し、自社の製品やサービスに影響するか切りわけを行います。
▽あわせて読みたい▽
>>脆弱性とは?その種類や放置する危険性、正しいセキュリティ対策について解説のページへ
製品・サービスのセキュリティを強化する
PSIRTは、上記のように自社の製品やサービスの脆弱性を把握することで、セキュリティを強化する対応を行います。具体的な業務としては、製品に組み込まれたファームウェアのアップデートを行う、セキュリティ強化のためにマニュアルやチェックリストを作成するなどです。
日ごろから自社のOSやソフトウェア、ファームウェアなどを最新の状態に保ち、脆弱性が放置されないような対策を行います。
ステークホルダーと連携する
自社製品やサービスのセキュリティレベルを強化するためには、社内の関連部署と連携を図ることも重要です。PSIRTは、関連部署や利用者などとの連携体制を整える業務も担っています。
たとえば、自社製品に脆弱性が発見された場合、開発部門に開発中の製品に影響がないか確認する必要があります。また、すでに流通している製品については、広報担当部門から顧客へのアナウンスをしなければなりません。このように、社内のステークホルダーとすみやかに連携を行う必要があることがわかるでしょう。
また、自社内だけでなく、製品やサービスの利用者やサプライチェーンから、情報提供を受ける必要もあります。さらに、インシデントが発生した際には、政府の関係省庁やサプライチェーンの窓口担当者、外部のセキュリティベンダーとのやりとりも必要です。
このように、万が一インシデントが発生した場合、スムーズにステークホルダーと連携がとれるように、日ごろから連絡体制を整えておかなければなりません。
インシデント発生に備えた対策をたてる
セキュリティレベルを強化しても、サイバー攻撃を受けてしまうこともあります。そのためPSIRTでは、インシデントが発生しないように対策を講じるだけでなく、発生した場合に備えて対策をたてておかなければなりません。
具体的には、日ごろからインシデント発生時の優先順位を設定しておく、復旧のためのマニュアルや連絡体制を用意しておくなどです。
インシデントが発生してから対策を考えると効率が悪く、適切な対策を講じることがむずかしくなります。そのため、PSIRTでは、日ごろからインシデントの内容をある程度想定しておき、その具体的な対応策を用意しておきます。そうすることで、インシデントが万が一発生したとしても、適切な対応をすばやく行うことが可能です。
PSIRTを確立するために必要なこと
企業内でPSIRTを確立するためには、いくつかのポイントがあります。これらのポイントをおさえておくことで、適切なPSIRT体制を整えることが可能です。
ここでは、PSIRTを確立するために対処しておきたい重要なポイントについて、解説します。
脆弱性管理体制を整備する
PSIRTを正しく運用するためには、脆弱性の情報を正確に把握しておくことがもっとも重要です。そのためには、脆弱性管理体制を整備する必要があります。
脆弱性は、あらゆるOSやソフトウェア、ファームウェアなどに潜んでおり、その数も膨大です。数多くの脆弱性情報を分析して優先順位をつけ、対策を割り振る必要があります。脆弱性の管理体制を適切に整えておけば、脆弱性の情報収集や分析、対策などを的確に行うことが可能です。
▽あわせて読みたい▽
>>脆弱性管理とは?脆弱性診断との違いや必要性、プロセスについて解説のページへ
製品開発プロセスの構築・見直しを行う
従来の製品・サービスの開発プロセスを適切に見直し、セキュリティ対策を効果的に行えるようにする必要があります。
たとえば、製品の開発や設計、製造、テストという作業プロセスの場合、製造工程が終わった後にセキュリティに関する対策を行うと、開発効率が悪くなります。そのため、開発の初期段階からセキュリティ要件を盛り込み、設計を適切に行うことで、開発の無駄をおさえて確実にセキュリティ対策を行うことが可能です。
PSIRTを確立するためには、開発プロセスを見直して、セキュリティ対策を万全に行える状態にしておく必要があるでしょう。
セキュリティ教育を実施する
PSIRTの業務を適切に進めるためには、担当者のセキュリティ教育を行うことも重要です。
担当者がセキュリティに関する正しい知識をもち、セキュリティリスクやインシデント発生時の影響を把握しておく必要があります。そのうえで、最新の脆弱性情報に関する知識や対処方法、対応を行う際に必要な判断基準なども必要です。さらに、インシデントが発生した際にマニュアルに沿って対応を行える能力、優先順位に沿って冷静に判断できる能力なども求められるでしょう。
顧客へのサポート体制を整備する
万が一、セキュリティインシデントが発生した場合には、製品やサービスを利用している顧客へのサポートを行う必要があります。
具体的には、顧客に対してどのようにアナウンスを行うのか、セキュリティアップデートの提供方法、サポートなどを行います。このような顧客対応のためのマニュアルや体制を整えておくことで、インシデントが発生した際に、スムーズに顧客サポートを行うことが可能です。
顧客へのサポート体制を整備しておくことで、万が一インシデントが発生しても、顧客からの信頼を維持できるでしょう。
関連サービスについて
まとめ
ここでは、PSIRTについて、その業務内容や確立する際のポイントなどを解説しました。
SHIFTは、事業会社で実際にCSIRT/PSIRTを構築・運用していたメンバーを中心に、お客様に合った真のCSIRT/PSIRT組織の構築を支援します。また、構築した態勢の維持、運用管理においても、経験者によるセキュリティ運用業務支援の提供が可能です。ぜひご相談ください。