{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす:PSIRTに求められる人材
2023-02-03
はじめに
連載「『PSIRT徹底解説』製品セキュリティ統括組織PSIRTの全貌を解き明かす」の第4回では、PSIRTの取り組みを円滑に運用するために備えたい機能について述べました。第5回となる今回は、このPSIRTの取り組みに求められる人材について解説します。
PSIRTに求められる人材
PSIRTの取り組みを円滑に運用するためには、インシデント対応のプロ集団が必要になります。
このPSIRT活動に必要とされる3つのタイプの人材をご紹介します。
対外・社内調整人材
PSIRTは、発覚したインシデントを、社内外の関係者を調整しながら迅速かつ円滑に収束させ、ユーザのリスクを最小限に留める役目を担う専門チームです。したがって、PSIRTには社内とも社外とも信頼関係を築き、協調しながら事案を進められる人材が求められます。
脆弱性情報の提供と引き換えに金銭を要求してくる発見者に対しては、組織の対応方針に照らして事態を収束させられる交渉力が必要です。
また、発覚した問題に対して感情的に責任問題を問うてくるユーザや、問題によるリスクの重要性の認識の違いから対処を固辞する製品部門など、セキュリティにあまり詳しくなく、協力的ではない関係者に対して事実を基に冷静に判断し、説得できる技量も求められます。PSIRTリーダーの人選にあたっては、技術的にセキュリティに詳しい人材を選ぶことが望ましいですが、関係者をまとめていく調整力に視点を置くことも大切です。
解析技術人材
PSIRTの人材には、受領した脆弱性情報の内容を理解し、自社の製品に該当するか否かを見極められる技術的な知見が求められます。とはいえ、セキュリティに詳しい技術者が社内にいるかといえば、一般的にはほとんどいないのではないでしょうか。
IoT機器の場合、セキュリティ技術者を社内で育成するには、製品開発経験のある組込みシステムエンジニアを人選し、セキュリティの技術や用語を理解してもらうことが好ましいとされています。なぜなら、多くのIoT機器の脆弱性は、製品開発経験のあるエンジニアなら誰もが知っているファームウェアの解析、JTAGポートやUARTなどでのシグナル解析といったデバッグ技術によって発見されるケースが多いからです。
このような人材に加えて、脆弱性のメカニズムを理解し、問題を解消するための対策技術を理解できるセキュリティエンジニアが揃うと、問題を理解するだけでなく、対処することも可能になります。IoT機器における対処の方策は、ソフトウェアやネットワークなどの技術エリアでも対策が可能なので、組込みシステムのレベルだけでなく、セキュリティの対策技術を理解するソフトウェアエンジニアやネットワークエンジニアが加わると理想的でしょう。
このような技術者が揃ってくると、自然と製品の設計段階からセキュリティに配慮した製品開発を進めようとする意識が高まり、より安心して利用できるセキュリティ安全性の高い製品づくりの体制構築が期待できます。
品質評価人材
これまで製品のリリース確認や不具合の解析、改修の対応は品質保証部門が対応してきた、という企業も多いかと思います。現在は安全性評価や耐久性評価を自社内で行っている企業も、取り組みの初期段階は外部機関に評価を委託し、徐々に自社内で評価ができるように品質評価人材を育成していったかと思います。製品におけるセキュリティの脆弱性もある種の製品が抱える問題なので、同じような視点で製品開発部門とは別の客観的な視点で脆弱性対策を評価することができると、よりセキュリティ品質の高い製品を提供することができるようになります。
製品開発部門の実装した脆弱性対策の実効性を確認するセキュリティ機能評価や、製品に搭載するソフトウェアに脆弱性が残存していないかを確認する脆弱性の静的・動的評価など、出荷前のセキュリティ評価については当面の間は外部機関に委託する必要があるかもしれません。しかし、それらの評価の経験を通じて自社内にもセキュリティ評価のできる人材を育成していくとよいでしょう。
まとめ
今回は、PSIRTの取り組みを円滑に進めるために求められる3つのタイプのPSIRT人材について解説しました。インシデント対応に際しては、対外・社内調整人材、解析技術人材、品質評価人材がワンチームとなり、さまざまな役割分担をした構成で組織化することにより、迅速に被害を最小化することができます。
次回は、PSIRTの取り組みの拡充について議論したいと思います。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
関連情報
サイバーセキュリティ&プライバシー
日本企業がDXを推進し、ビジネスを持続的に成長させていくためには、デジタル時代において必要とされる信頼、すなわち「デジタルトラスト」の構築が求められています。PwCは、サイバーセキュリティ、プライバシー、データの安全性、信頼性などさまざまな観点から、クライアントのデジタルトラスト構築を支援します。
サイバーセキュリティコンサルティング
PwCは、企業のITシステム、OTシステム、IoTの領域におけるサイバーセキュリティ対策を支援します。高度なサイバー攻撃の検知、インシデントが発生した際の迅速な事故対応や被害の最小化、再発防止から対策の抜本的見直しまでさまざまなアプローチを通じ、最適なサイバーセキュリティ対策を実行します。
製品セキュリティインシデント対応体制(PSIRT)構築支援
製品の設計段階から出荷後までを対象に、インシデントなど問題発生時に対応する「PSIRT」体制の構築を支援します。現状分析をもとに脆弱性・インシデント管理の対象となる製品スコープの定義、運営体制検討を行い、脆弱性管理方針の策定をご支援します。