「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす:PSIRTの取り組み拡充に向けて(その2:各取り組み成熟度の高度化編)

2023-04-12

はじめに

連載「『PSIRT徹底解説』製品セキュリティ統括組織PSIRTの全貌を解き明かす」の第7回では、セキュリティ問題を未然に防止する、出荷前に行なうPSIRTの取り組みについて解説しました。今回は、PSIRT本来のセキュリティ対応の機能を高度化し、成熟度を上げていくための取り組みについて取り上げたいと思います。

脆弱性情報の検知能力の高度化

業界団体のセキュリティWGや業界ISACへの加盟

日々多くの脆弱性情報が飛び交う中、自社製品に関係のあるものをいかに効率的かつ迅速に入手するかは、PSIRTの重要な課題です。自社製品に関わる脆弱性情報を入手する方法の1つとして、業界団体のセキュリティ・ワーキンググループ(WG)や業界ISAC1に加盟するということが挙げられます。

同業他社の製品の脆弱性は、自社の製品が狙われる点を把握する上で参考になる可能性があります。また業界の標準として普及しているミドルウェアが自社製品に搭載されていれば、他社と同じ脆弱性を抱えることになります。普段は競合関係にあったとしても、脆弱性情報を共有し、業界全体で攻撃に備える「ISAC」という取り組みは世界でも増えています。

SBOMを活用した監視

市場で稼働しているIoT機器のSBOM2を正確に整備し、日頃開示される脆弱性情報と突合させて該非判断を自動化する仕組みを作り、自社製品に対する該非判断を効率化することも検知能力を上げる方法の1つです。人間の目だけでは全ての情報を見切れませんし、脆弱性情報を見逃す、漏れるといった問題を完全に排除することはできません。

外部のセキュリティ知識の活用

社会的インパクトの大きい重要インフラ向けのIoT機器の場合、外部の脅威インテリジェンスやハッカーとのネットワーキングを活用することで、公開されていないレベルの情報を入手するなど、早期に脅威の予兆を掴むことも有効な方法となります。また、発覚した脆弱性のインテリジェンスによる詳細な分析情報は、トリアージをする際のExploitability(悪用可能性)を見極める際などにも有効な場合があります。

インシデント対応能力の高度化

社内で策定したインシデント対応手順を国際的に認められた手順に合わせていくことも、インシデント対応がしっかりと行える組織として対外的に認められる上で大切になります。国際標準としては、脆弱性の取り扱いプロセスを記載した「ISO/IEC 30111」や、脆弱性情報の開示・公表について記載した「ISO/IEC 29147」があります。この2つの取り組みは、下図のように相互に関連しています。

図:ISO/IEC 29147とISO/IEC 30111の関係

インシデント対応訓練

インシデント対応は日常的に起きていることではないので、訓練を通じてインシデント対応の動きに慣れておく必要があります。自社製品に当てはまる脆弱性情報を受領した時や、顧客にインシデントが発生した時のシナリオを作成し、製品の開発部門や品質保証部門など社内の関係部門を巻き込んで、問題が発生した想定で演習を定期的に実施することが求められます。その際には、標準プロセスに沿って「誰が」「何を」「どのような手順で進めるか」ということを日頃から確認できるようにします。

この時、さまざまなイレギュラーなケースをシナリオに盛り込み、誰に判断を仰ぐかといった訓練を行えると、さらによいでしょう。例えば、発売完了となっている製品のインシデントにおいて対策を検討できる開発者が社内に残っていないケース、外注先の成果物のインシデントにおいて外注先と対応条件(改修する/しない、改修費用、改修期間など)に関して合意できないケース、脆弱性報告者とうまく折り合いがつかず対策前に脆弱性情報が開示されてしまったケースなど、イレギュラーケースによる応用力を醸成していくことも重要です。

このような演習や実際のインシデント対応の経験を通じて、標準的な手順に不備などが発覚すれば、それらに対処する形で標準的な手順を改良していくことも、成熟度を上げていく上で大切になります。

自社のPSIRTの取り組みや成熟度を確認し、高度化する方法として、FIRST3の提供する以下の文書も参考にするとよいでしょう。

ISAC:Information Sharing and Analysis Center

SBOM:Software Bill of Material

3 FIRST:Forum of Incident Response and Security Teams、世界各地の企業のCSIRT, PSIRTが集う国際的な非営利団体

執筆者

奥山 謙

ディレクター, PwCコンサルティング合同会社

Email

韓 欣一

マネージャー, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{contentList.viewAllLabel}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{contentList.viewAllLabel}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{contentList.viewAllLabel}}

本ページに関するお問い合わせ

関連情報