{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす:PSIRTの取り組み拡充に向けて(その1:シフトレフト編)
2023-02-28
はじめに
前回は、PSIRTの取り組みを円滑に運用するために求められる3つのPSIRT人材タイプについて取り上げました。今回と次回の2回にわたって、PSIRTの取り組みの2つの拡充の方向性を議論したいと思います。まず今回はPSIRTの取り組み対象を製品開発プロセスの上流へ拡充していくことについて解説します。
シフトレフトによるPSIRTの対象範囲の拡大
これまでは、PSIRTの名の通り、製品を販売・リリースした後のインシデント対応や脆弱性の対処といったPSIRTの基本的な取り組み範囲について解説しました。一般的な製品ライフサイクル(企画~設計~評価~製造~販売・リリース~運用~廃棄)において、インシデント対応は「運用」フェーズでの事後対応になります。
しかしながら、製品メーカーでは一般的に、製品の安全性の品質管理において、運用フェーズで事故が起きる度に対策を行う「事後対応」だけでなく、事故を起こさない「未然防止」の考え方を導入し、設計段階から安全性に配慮した製品づくりを行うようになっていることと思います。セキュリティも同様に、製品ライフサイクルの上流(出荷前)にセキュリティの取り組みを加えるという「シフトレフト」の実施により、インシデント発生の未然防止につなげることができます。
こうした上流における取り組みの例をいくつかご紹介します。
製品セキュリティ開発標準の策定
恐らく、製品メーカー各社には、製品開発の標準プロセスという品質を確保するために基本的に踏襲しなければいけないルールが設定されているでしょう。この製品をリリースするまでに行うべき実施事項やチェック項目に、セキュリティに関する実施事項やチェック項目を加えていくことで、セキュリティ品質を高めていくことができます。
開発フェーズごとに実施事項の例を挙げてみます。
企画フェーズ
企画段階では、企画予定の製品分野で過去に起きた脅威事例の収集や、それらの事例を参考に企画製品やユーザーにどういった脅威が襲いかかるかを想定する脅威分析、発生させてはいけない致命的な状況を明確にするリスク評価のほか、上市予定の市場において遵守すべき法規制の要件を洗い出し、対策すべき要件を明確にすることが挙げられます。
設計フェーズ
設計段階では、企画段階で浮き彫りになった脅威から製品やユーザーを守る対策機能や、セキュリティ要件を満たす対策機能、およびセキュリティ上の機微な情報を秘匿するセキュリティアーキテクチャをコストに照らして選択することなどが挙げられます。
実装フェーズ
実装段階では、脆弱性を可能な限り排除するようにコーディングするためのセキュアコーディングルールを設けて実施することや、オープンソースソフトウェア(OSS)など外部リソースを活用する際は最新のセキュリティ対応されているバージョンを選択するといった、可能な限り脆弱性を作りこまないための取り組みが挙げられます。
検証フェーズ
検証段階では、要件を満たしているか、設計通りに動作するか、定めたルール通りに適切にコーディングされているかなどを評価確認(Verification)することが重要です。また、設計から検証までの時間が経過する間に、セキュリティの情勢が変化することもあるので、採用したOSSや暗号化モジュールが古くなっていないか、想定通りのセキュリティ対策が有効に機能しているかなどの有効性検証(Validation)も重要となります。
もし品質評価プロセスが別に策定されていれば、セキュリティ検証ポイントについて併せて改定していくとよいでしょう。
人材教育
セキュリティに配慮した製品を開発する人材の教育もPSIRTが担当できる領域です。誰に対して何を教育するかは、非常に幅広くなりますが、想定される教育内容を以下に例示します。
- 開発部門向け:脅威分析、CVSS値算定、リスク評価、脆弱性の動向・特徴、対策技術、セキュリティアーキテクチャ、セキュアコーディング
- 評価部門向け:脆弱性確認手法(コード静的解析、オープンソースソフトウェア確認、ポートスキャン、既定パスワード辞書攻撃評価、既知の脆弱性評価、ペネトレーションテストなど)
また、セキュアな製品を出荷する上で、開発・品質部門以外の協力も必要となります。会社全体でセキュリティへの意識を向上させ、安全に使える製品として出荷できる製品づくりの文化を醸成していきましょう。社内関係者への教育内容を以下に例示します。
- 事業責任者・経営者向け:セキュリティ情勢や法規制・国際標準の動向、製品業界でのセキュリティ対応の考え方や他社事例、出荷している製品の抱えるセキュリティリスク、社会的責任問題や訴訟事例
- 製品事業企画推進部門向け:出荷している製品の抱えるセキュリティリスク、IoT機器と連携するスマートフォンアプリやクラウドサービスのセキュリティ
- 広報・法務・渉外・顧客サポート部門向け:サプライヤーとの契約時のセキュリティ保守の取り決め、製品業界の管轄当局のセキュリティの考え方や問題発生時の対処方法
- 海外拠点向け:取り扱う製品の抱えるリスク、脆弱性情報を受領する可能性と海外市場での他社のセキュリティ動向や事例、それらの製品開発部門へのフィードバックの必要性、担当地域の法規制や業界標準の監視
管理対象の拡大
IoT機器メーカーでは、主要な販売対象がIoT機器であるため、品質確認もIoT機器を中心に注力的に行われるケースが多く見られます。一方、チェックが甘くなりがちなのが、IoT機器の付属スマートフォンアプリや、連携するオンラインサービスのセキュリティ品質確認です。IoT機器へのセキュリティの配慮は進んでも、スマートフォンアプリやクラウドサービスのセキュリティが疎かになっては、IoTシステム全体のセキュリティレベルは下がってしまいます。
クラウドサービスのセキュリティは、クラウド提供事業者が全て対応してくれるわけではありません。クラウド事業者が提供するセキュリティサービスの範囲とIoT機器を提供するサービス運用側で設定するセキュリティの範囲を確認し、その内容について知識を持っておく必要があります。そして、そういったクラウドに関する知識をIoTサービス運営側の担当者と共有しておく必要があります。また、クラウド利用に関しては、CSIRTにも知見がある場合がありますので、CSIRTとも連携してセキュリティ設定を行うとよいでしょう。
スマートフォンアプリも、IoT機器メーカーでは、自社開発ではなくアプリ開発の専門業者に外注しているケースが多いかと推察します。アプリ開発を発注する際には、機能仕様以外にどのようなセキュリティ要件を出して開発をお願いし、納品時には何を確認するか、など予め基本的なプロセスを定めて、実施してもらう必要があるでしょう。
まとめ
今回は、セキュリティ問題の未然防止となる出荷前に行えるPSIRTの取り組みについて解説しました。次回は、PSIRTの本来のセキュリティ対応の機能を高度化し、成熟度を上げていくための取り組みについて紹介したいと思います。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
関連情報
サイバーセキュリティ&プライバシー
日本企業がDXを推進し、ビジネスを持続的に成長させていくためには、デジタル時代において必要とされる信頼、すなわち「デジタルトラスト」の構築が求められています。PwCは、サイバーセキュリティ、プライバシー、データの安全性、信頼性などさまざまな観点から、クライアントのデジタルトラスト構築を支援します。
サイバーセキュリティコンサルティング
PwCは、企業のITシステム、OTシステム、IoTの領域におけるサイバーセキュリティ対策を支援します。高度なサイバー攻撃の検知、インシデントが発生した際の迅速な事故対応や被害の最小化、再発防止から対策の抜本的見直しまでさまざまなアプローチを通じ、最適なサイバーセキュリティ対策を実行します。
製品サイバーセキュリティ
PwCでは、デジタル技術で制御されるさまざまな製品における脅威や脆弱性・セキュリティインシデントが発生した際に生じるビジネス上の脅威に備えるための「製品サイバーセキュリティ」対策を支援します