「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす：PSIRTの将来―PSIRT 2.0とは―

はじめに

連載「『PSIRT徹底解説』製品セキュリティ統括組織PSIRTの全貌を解き明かす」では、これまで7回にわたり、PSIRTが備えるべき機能や、求められる人材、取り組みを拡充させるポイントについて解説してきました。連載の最終回となる第8回は、PSIRTは将来どのような存在になっているべきか、変革を経て「PSIRT 2.0」としてどのような姿になっているべきかについて議論します。

PSIRTの将来の方向性：PSIRT2.0とは

環境の変化に対して、PSIRTはどのように変化すべきでしょうか。PSIRT2.0に向けては、以下のとおり２つの方向性があります。
１）PSIRT機能の高度化
２）PSIRTのトランスフォーメーション

１）PSIRT機能の高度化

PSIRTが直面しているこれらの課題に対応し、脆弱性対応をより効率的に推進するためには、PSIRT機能を進化・高度化させていく必要があります。その際にキーワードとなるのは、「高速化」「自動化」「拡張性」です。

増大する脆弱性情報量に対する処理能力の高速化

2002年に世界で公表された脆弱性情報は約2,000件でしたが、2022年には2万5千件を超えました(*1)。2017年から2022年までの6年間だけを見てもその数は約1.5倍に増えています。特にCVSS（Common Vulnerability Scoring System）の評点9.0以上（Critical）の「緊急対応を要する脆弱性」は2022年に急増（約4,000件）しており、評点7.0以上（High）の「重要な脆弱性」まで含めると、全体の約6割にも達しています(*2)。これまで多くのPSIRTは「評点7.0以上の脆弱性は要修正」といったCVSSの基本値をトリアージの基準として運用してきましたが、増え続ける脆弱性の情報量を従来の体制では処理しきれなくなってきているのが現状です。増大する脆弱性情報の入力に耐えられる情報処理能力の高速化が、多くのPSIRTにとって急務であり、その具体的な対処法が模索されています。

脆弱性を見極める方法の見直しとトリアージの自動化

現在PSIRTの間では、「このままCVSS基本値をベースにトリアージしていってよいのか」「本当に修正すべき脆弱性はどのように見極めればよいのか」など、実効性のあるトリアージについての議論が盛んに行われています。脆弱性についての評点が「Critical」や「High」の中には、論理的な可能性だけで評価されているものも多く、「本当に実現性のある脆弱性はほんの一握りではないか」との懸念があるなど、Exploitabilityに注目した議論も見られます。一方、そのトリアージ手法として、CSIRTおよびPSIRTの国際的な集まりである「FIRST」では、これまで指摘されてきたCVSSに対する課題を改善すべく、IoTやOT環境を考慮した安全性要素や自動化可能性の要素を加えたv4.0が考案されました。一方、カーネギーメロン大学考案の「SSVC*3」（Stakeholder-Specific Vulnerability Categorization）という手法も注目されています。一つひとつの脆弱性情報を人の目で確認し判断することには限界があるため、トリアージ判断木をシステム化して、脆弱性情報から修正すべき対象を絞り込む一次フィルタリング自動化の取り組みは今後必須となるでしょう。

管理対象製品の拡大と管理システムの拡張性

多くの製造業は、事業の領域を拡大したり、業態を変化させるために、製品とクラウドを連携させたり、先端技術を有する企業を買収したりしていますが、それに伴って管理すべき製品対象が拡大しています。特定の事業部門を中心に、製品に搭載するハードウェアおよびソフトウェアの部品構成（HBOM／SBOM）や対処済の脆弱性の管理システムを構築してきたPSIRTは、そのシステムを他の事業部や買収企業に展開できるよう、拡張性のあるシステムへと変革することを迫られています。

２）PSIRTのトランスフォーメーション

PSIRTが直面するさまざまな課題を解決する方法についての議論が進む一方で、環境の変化に対して、PSIRT自身はどのように変わっていく必要があるでしょうか。すでにPSIRTを立ち上げ、先端的な活動に取り組んでいる企業が直面している課題を踏まえ、ここでは大きく２つの変革（トランスフォーメーション）の方向性について検討します。

２つのトランスフォーメーション

１）検知能力と対処判断能力のCoE変革

PSIRTが取り扱う脆弱性情報は複雑化がますます進み、攻撃者の能力もAIなどの先端テクノロジーを武器とすることで一層高度化しています。各企業に常駐し、そのような状況に対応しなければならないセキュリティの専門家の人数と知識には限りがあるため、社内のリソースをできる限り連携できるようにする必要があります。CSIRT、FSIRT、PSIRTがそれぞれバラバラに機能するのではなく、協調することで情報を収集するアンテナ機能の拡張と感度向上を図り、入手した脆弱性情報をCSIRT、FSIRT、PSIRTの間で共有することが重要になります。そして社内のあらゆるセキュリティリスクに対し、総合的な知識を持って適切な対応判断ができるような体制を構築する必要があるでしょう。

すでにそのような取り組みに向けてセキュリティ対応組織の統合化を進めている企業も見られますが、まだ情報収集機能の側面に偏重しているのが現状です。今後はセキュリティリスクに対する対応判断を担う、統括司令塔へと変革していくことが求められます。

２）サプライチェーン連携に向けたPSIRT機能の基盤化（PSIRTエコシステム化）

製造事業各社は、他社製の部品とコンポーネントを多数組み合わせて製品を開発し、市場に投入しています。セキュアな製品を開発するには、製品に関係する全ての企業が同等のセキュリティ意識を持ち、セキュアな製品開発プロセスに沿って開発を進めることが求められます。脆弱性があった場合は、相互に連携できる共通のプロセスに基づいて改修作業を進め、アップデート版を提供し、脆弱性情報を開示することも求められます。

しかし各企業のPSIRTは、それぞれが実行できる範囲のセキュリティ対応に終始しているのが現状です。各企業が担うPSIRT活動を可能な限り共通化し、それをサプライチェーンの間で基盤化できれば、自動化できることも増え、各企業の負担をより減らせるでしょう。サプライヤー側の企業にとっても、納品先の企業特有のルールに個別に対応していては、作業をカスタマイズするコストも増え、ミスも起こり得ます。

コンポーネントレベルのセキュリティ品質の透明性を確保することが、ガイドラインだけでなく法規制によって求められつつある昨今においては、セキュアな開発プロセスの各フェーズで実施するセキュリティ対応についての説明責任を果たす方法（例：セキュリティゴールの設定手順の策定、セキュリティ検証結果の報告、SBOM情報の共有、納品物やアップデート版のセキュアな受け渡し方法など）を業界内で共通化し、基盤化し、情報連携しやすい環境を早期に整備していくことも求められます。

出荷後の取り組みの共通化、標準化も重要であり、脆弱性情報の協調的開示（CVD： Coordinated Vulnerability Disclosure）が推進されています。しかし、そのCVDの本質的意義や必要性がPSIRTの間や、サプライチェーンの間では共通理解となっている状況にはまだありません。脆弱性報告を行うということには、きちんと脆弱性に対応している組織であることを対外的に示すだけでなく、脆弱性を発見してくれた報告者に対して謝辞を表すという意義もあります。前述の製造者責任（PL）にセキュリティ品質の確保や関連する問題への対応が含まれるようになった際には、その説明責任を果たすため、そしてPSIRT活動を効率化するため、各企業はサプライチェーン間で協調し、開示していく情報のレベルや、開示対象とする脆弱性およびその内容について共通の理解を醸成し、標準化を進める必要があるでしょう。

一方、脆弱性情報を収集するフェーズにおいては、サプライチェーンの間だけでなく、同業他社との競合間連携も重要になってきます。既に同業企業によるISAC（Information Sharing and Analysis Cener）はいくつか組成されていますが、ISACで共有される情報は、個社での脆弱性対応が終了した後の教訓を共有するに留まり、事前共有されることは基本的にありません。しかし、PSIRTの先進事例の中には、受領した情報が自社製品ではなく競合他社の製品に当てはまると思われる情報であっても、報告者とのNDAにより、他社に伝達したくてもできないケースも出てきているといいます。そういった脆弱性情報に早期に対応できるよう、同業や同地域の事業者間で報告者を交え、受領した脆弱性情報をNDAに抵触しない形で事前連携できる仕組みづくりも今後求められるでしょう。現時点ではまだ明確な解決策はありませんが、個々の事業者間による連携が、一部のPSIRT間では模索され始めています。

*1) NIST NVD Statistic Results
https://nvd.nist.gov/vuln/search/statistics?form_type=Basic&results_type=statistics&search_type=all&isCpeNameSearch=false

*2) NIST NVD Dashboard
https://nvd.nist.gov/general/nvd-dashboard

*3 Carnegie Mellon University, 2021, "Prioritizing Vulnerability Response: A Stakeholder-Specific Vulnerability Categorization (Version 2.0)"
https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=653459