- Column
- 実行性が問われる産業サイバーセキュリティ
PSIRTの効率的な構築・運用がIoT製品のセキュリティを確保する
日立製作所 セキュリティサービス本部 プロダクトセキュリティソリューション部 大谷 直輝 氏
- 提供:
- 日立製作所
PSIRTの構築・運用にでは解決すべき課題は少なくない
ただPSIRT構築・運用においては、さまざまな課題があるのも事実だ。代表例として大谷氏は、(1)組織構築のノウハウや人材の不足、(2)運用後の効率性、(3)取引先を含めた全体監視・管理の3点を挙げる。
課題1:組織構築のノウハウや人材の不足
ここでのノウハウとして大谷氏は「全社共通の指針の作成や仕組みの運用に知見を持つ先駆者のノウハウが活用できる」としたうえで、PSIRT立ち上げ時には以下の「3つの定着」が必要だとする。
組織の定着 :本社におけるPSIRTと事業部門ごとの責任範囲を定め、製品セキュリティを経営トップが舵を取り押し進める
プロセスの定着 :ガイドラインの策定やプロセスの規則化、全社共通のツールや基盤の導入などにより情報の共有と運用の効率化を図る
人材の定着 :PSIRT活動をリードする人材の育成はもちろん、セキュリティ意識を向上させるための全社的教育訓練の実施など、組織全体のボトムアップを図る
課題2:運用後の効率性
複数の部署が同じ作業を進めていたり、脆弱性情報が膨大で管理工数が増加していたりと非効率な作業が目立つことがある。大谷氏は「部門ごとのアプローチを統一する全社共通の運用基盤やプラットフォームの活用が解決の方向性となる」とし、プラットフォームの活用効果として以下の2つを挙げる。
●脆弱性情報や脅威情報、製品構成情報を共通データベースにすることで情報の一元化、共通化が可能になる
●共通データベースから製品と脆弱性情報をマッチングし、対処が必要な情報のみを洗い出すことで脆弱性の検出を自動化が可能になる
課題3:取引先を含めた全体監視・管理
サプライチェーン上では、各社が複数社から調達した部品や素材を組み合わせて製品を開発している。製品セキュリティを高めるには「取引先など全ての企業が同レベルのセキュリティ対応を取る必要がある」(大谷氏)。そのためには「法規制などが進む今後を見据え、完成品メーカー主導のもと、PSIRT機能や運用プラットフォームを共通化し情報連携しやすい環境を整備する必要がある」(同)とする。
PSIRTの構築・運用は共通化・自動化・標準化で効率を高められる
こうした課題の解決に向け日立製作所が提供するのが「PSIRT運用プラットフォーム」である。自社での実績を元に、PSIRTセキュリティマネジメントの予防とインシデントハンドリングを支援する(図2)。
PSIRT運用プラットフォームは、(1)共通化、(2)自動化、(3)標準化の3つのアプローチで、PSIRTの効率的な構築・運用を実現する。
(1)共通化 :公開されている脆弱性情報を自動で取得し、PSIRT運用プラットフォーム上で閲覧できるようにする。脆弱性情報を部門の担当者それぞれが収集し公開する作業が不要になり、組織全体で作業効率を高められる
(2)自動化 :脆弱性の検出では表記の揺らぎへの対応が課題になる。脆弱性情報と製品情報の照合では、例えば製品名やバージョン情報などが探索キーになるが、表記の揺らぎにより単純に比較できない。PSIRT運用プラットフォームでは自然言語処理技術により表記揺れを吸収し脆弱性の検出漏れを防ぎ、脆弱性対応の負担を軽減する
(3)標準化 :製品の脆弱性を検出すると、それに対応する担当者を自動で割り当てる。割り当てられた担当者には、対応判断に必要な情報が生成AI(人工知能)技術を用いて生成され提示される。「どのような条件のときに脆弱性が発現するかといった情報が提示されるため対応策の標準化が図れ組織全体のセキュリティ対応を高度化できる」(大谷氏)という。
PSIRT運用プラットフォームを活用することで「PSIRTの構築・運用の効率化が図れ、結果として製品セキュリティの強化が可能になる」と大谷氏は強調する。
