産業用IoT機器のセキュリティ対策に向けたコンサルティングサービス、日立ソリューションズが開始

　日立ソリューションズの「PSIRT構築コンサルティング」は、企業が製造する産業用IoT（Internet of Things：モノのインターネット）機器のセキュリティ対策を対象にしたコンサルティングサービス。専門組織「PSIRT」（Product Security Incident Response Team）の構築・運用から開発プロセスの策定・定着を対象に、製品の設計から開発、運用、保守までのセキュリティ体制の確立を支援する（図1）。

図1：IoT機器のセキュリティ対策を支援する「PSIRT構築コンサルティング」の概要

　PSIRTの構築に向けてはまず、インシデント（事象）や脆弱性への対応プロセスを策定する。影響を抑えるために早期対応できるよう、対応部署や関係部署、社外組織との連携、取るべき行動などを明確化する。

　ひな形として、自動車業界や製造業での経験と実績から策定した「インシデント・脆弱性対応手順書（ひな型）」を用いる。これを各社の実情を考慮してカスタマイズすることで、PSIRTの早期立ち上げを可能にするという。

　対応プロセス／手順書の定着化に向けた教育・トレーニングも実施する。対面またはリモートのほか、英語版テキストや逐次通訳による対応も可能だ。

　PSIRTの運用に対しては、脅威・脆弱性レポートの提供とPSIRTの活動支援ツールを構築する。レポートでは、日々多様なデータソースによる脅威・脆弱性情報から、当該製品に関する情報を収集・分析し、製品への影響や対策へ見解をまとめる。

　支援ツールとしては、問い合わせを管理するヘルプデスクや、ワークフロー・チケット管理、情報共有といった仕組みの設計から構築・運用までを支援する。

　開発フェーズに対してはまず、インシデントを発生させないように、製品に脆弱性を残させない／埋め込まない開発プロセスの策定を支援する。そのうえで製品のライフサイクル全体でセキュリティを確保するのに必要なプロセスの構築と、その定着に向けた開発者向けトレーニングやセキュリティ検証などを実施する。

　テスト工程で脆弱性を洗い出すために、基本ソフトウェア（OS）やアプリケーションのセキュリティ診断も実施する。診断ツールとハッキング技術の専門家による診断を組み合わせる。脆弱性を突いて内部への侵入を試みるペネトレーションテストも実施する。

　日立ソリューションズによれば、自動車や産業機器などのネットワーク接続が広がり、産業用IoT機器を標的としたサイバー攻撃が増加している。関連企業や取引先などのサプライチェーンを経由して標的企業を狙う攻撃も増えており、インシデントが発生した際の影響が広範囲にわたることから、PSIRTの設置や開発・対応プロセスの策定が重要になっている。

　PSIRT構築コンサルティングの利用料金は個別見積もり。期間はPSIRT構築支援が6カ月から。支援形態や適用範囲により期間も変わる。