PSIRTの効率的な構築・運用がIoT製品のセキュリティを確保する

　「インターネット上の攻撃通信数は、2015年の632億パケットが8年後の2023年には約10倍の6197億パケットに増大した。サイバー攻撃の内訳を見ると48%がWebカメラやルーターなどのIoT（Internet of Things：モノのインターネット）機器を狙った攻撃だった。インターネットに接続可能な製品を提供するメーカーにとって、製品セキュリティ対策の強化は不可欠の課題だ」−−。日立製作所 セキュリティサービス本部 プロダクトセキュリティソリューション部の大谷 直輝 氏は、こう指摘する（写真1）。

写真1：日立製作所 クラウドサービスプラットフォームビジネスユニット マネージド＆プラットフォームサービス事業部 セキュリティサービス本部 プロダクトセキュリティソリューション部の大谷 直輝 氏

経営リスクであるIoT機器へのサイバー攻撃に対応するPSIRTが重要に

　IoT機器へのサイバーインシデントは、IT（Information Technology：情報技術）システムへのそれとは異なる。ITシステムのリスクが情報漏えいやサービス停止などデジタル領域の被害にとどまることが多い。

　だがIoT機器では、自動車関連機器の場合は乗っ取られる重大な事故に、医療関係機器の場合は人命の危機につながってしまうケースもある。それほど「セキュリティインシデントは企業の信頼喪失にもつながる重大な経営リスクになる」（大谷氏）

　IoT機器へのサイバー攻撃の増加に伴い、医療業界や自動車業界、各国政府などが、製品利用者の安全性を確保するためのセキュリティ規定の整備を進めている。2015年頃からは日米欧の各地域でIoTセキュリティに関するガイドラインが制定され、国や業界のガイドラインへの対応が事業継続のために必須要件になっている。

　しかし近年のサイバー攻撃は規模に加え攻撃対象も拡大しており、「部門単位の個別対応ではセキュリティ確保が困難になりつつある」（大谷氏）。そのため製品の設計から販売後までの製品ライフサイクル全体でセキュリティを強化する取り組みが求められている。そこでは、「脆弱性やインシデントの原因を究明し適切な対処や情報公開など迅速な対応が必要になる」（同）

　この製品セキュリティを確保するための組織が「PSIRT（ピーサート：Product Security Incident Response Team）」である。自社製品のセキュリティ事故発生を防ぐため「平時・有事を問わずセキュリティマネジメントを適切に実施する存在」（大谷氏）だ。

　平時の主業務は、脆弱性の管理とセキュリティポリシーの策定、リスク管理である。有事には、インシデントの初動対応から原因分析、社外のステークホルダーとの連携窓口の対応など、迅速な復旧に向けて活動する。企業にとって「製品／サービスのセキュリティを維持し、組織の信頼性と顧客の安全を守るために不可欠な存在」（大谷氏）になる。

　PSIRT構築に向けた一連の流れを大谷氏は次のように説明する（図1）。

図1：PSIRTの構築に向けて取り組むべき事項

計画段階 ：点検・アセスメントにより現状とリスクを把握する
方針策定段階 ：企業規模に合わせたPSIRTの対象スコープの定義や組織体制の策定などを実施する
教育啓発段階 ：PSIRTに関わる人材を育成する
構築・運用段階 ：セキュリティインシデントを予防し、リスク発生時は迅速な対処をハンドリングする