日立ソリューションズ・テクノロジー、車載機器やIoT機器などを対象にするPSIRTの構築・運用を支援

　日立ソリューションズ・テクノロジーが2024年7月1日に開始したのは、車載機器やIoT（Internet of Things：モノのインターネット）機器などのセキュリティ事案に当たる製品セキュリティインシデント対応チーム「PSIRT(Product Security Incident Response Team)」の構築支援と運営支援の2つのサービス。両サービスにより、製品の開発から運用までのライフサイクル全体に対する継続的なセキュリティ対策の実行が可能になるという（図1）。

図1：日立ソリューションズ・テクノロジーが提供する車載機器やIoT機器などを対象にしたセキュリティ対応環境支援サービスの範囲

　PSIRT構築支援では、PSIRTの構築・維持に必要な、プロセスやガイドライン、手順書の作成を支援する。初期段階用としては、ISO/SAE 21434規格の「8.6 脆弱性管理」と「13.3 サイバーセキュリティインシデント対応」に向けたインシデント対応手順書を提供する。

　PSIRT運営支援では、脆弱性を管理するための環境構築や、脆弱性監視の運用代行、製品に影響がある脆弱性に関する情報やアドバイスを提供する。

　いずれも、イスラエルのCybellum Technologiesが開発するセキュリティ基盤「Cybellum Product Security Platform」を使って実行する。Cybellumは、ソフトウェアのライセンス情報やコンポーネント情報などを可視化するSBOM（Software Bill of Materials）の管理・検証、脆弱性の検出・優先順位付け、規制の遵守、インシデント対応の管理などの機能を持つ。

　例えば脆弱性を検出した際は、その深刻度や関連性を評価し、本当に必要な対策の見極めや、脆弱性の作り込みのチェック、業界ガイドラインなどに準拠したチェックの支援などに対応できるとしている。

　日立ソリューションズ・テクノロジーはこれまで、セキュリティの要件定義や設計・実装・テストなどエンジニアリング部分のサービスを提供してきた。今後は、Cybellumを使ったPSIRTの構築支援や、Cybellumの販売、同ツールを使った監視の運用なども提供していく。