製品サイバーセキュリティ

つながる製品・設備のサイバーセキュリティ

PwCでは、デジタル技術で制御されるさまざまな製品における脅威や脆弱性・セキュリティインシデントが発生した際に生じるビジネス上の脅威に備えるための「製品サイバーセキュリティ」対策を支援します。

IoT製品を狙ったサイバー攻撃の激増

さまざまなモノがインターネットにつながるIoT(Internet of Things:以降IoT)は、自動車、家電製品、医療機器、防衛装備品、航空宇宙関連機器などの組み込み機器・製品群から、工場・プラントなどの設備(制御システム、エネルギープラントなど)に至るまで、急速に普及しています。

PwCグローバル情報セキュリティ調査によると、IoT機器が組み込まれた製品(以降、IoT製品)・制御システムを標的としたサイバー攻撃を受けたと回答した企業は、前年と比較して激増しています。(図1)今後、IoT製品を標的としたサイバー攻撃の一層の増加が予想されます。

【図1】IoTデバイスおよびシステムへの攻撃

製品メーカーに求められる新たなビジネスモデル

車両システムの脆弱性発覚、世界規模のランサムウェア攻撃による工場稼働停止や医療機関のシステムダウンといった新たなサイバーリスクが顕在化しています。自動車、医療設備、防衛設備などで被害が出ると生死にかかわる可能性があり、機器メーカーは、情報システムはもちろん、製品、設備を含む事業全体のセキュリティを担保することが急務となっています。

これまで製品メーカーの役割は、製品を製造し、その製品の品質を保証することでした。

工業製品を製造していた製品メーカーがIoT機器などコネクテッド製品メーカーに生まれ変わるということは、その製品をインターネットに接続させるという単純なことではなく、製品の開発・試験・運用やその関連プロセス、製品のライフサイクル、顧客とのコミュニケーション手段や頻度、社外の技術者コミュニティのかかわり方など、あらゆるものを変革し、製品の設計段階から出荷後に至るまで製品のライフスタイルを通じたビジネスモデルを作り上げる必要があります。

つながる製品・設備のサイバーセキュリティ

IoT機器などコネクテッド製品における脆弱性対策は、「研究開発」「製造」「市場利用」「廃棄」の製品ライフサイクル全体を包括したセキュリティプロセスを考える必要があります。製品ライフサイクル複数の事業部門に加え、社外のサプライヤーを含む体制構築が必要になります。

また、ユーザーが所有する製品の継続的なセキュリティ確保(一般的には5年から10年)が必要になります。

セキュアな製品確保・維持のため、多くのステークホルダを巻き込んだセキュアなプロセスを構築・対応体制を構築し、長期的な対応が必要です。

【図2】市場流通後のセキュリティの必要性

製品サイバーセキュリティリスク対策の全体像

企業におけるサイバーリスクへの対策には、サプライチェーンも含めた製品ライフサイクルの各フェーズにおいて必要とされるセキュリティ対策の実施が必要です。

製品サイバーセキュリティリスク対策の全体像

※SDLC:Secure Development Life Cycle

いま求められる製品のサイバーセキュリティの対策とは

PwCでは、業種・業界や製品特性を踏まえた、最適なPSIRT(製品セキュリティインシデント対応)体制、製品のセキュリティ開発手順の確立とプロセスの構築、ハードウェアハッキングなどを総合的に支援する製品のサイバーセキュリティ対策に向けたサービスをご用意しています。

セキュア開発ライフサイクル(SDLC :Secure Development Life Cycle)構築支援

セキュア開発ライフサイクル(SDLC :Secure Development Life Cycle)構築支援

製品セキュリティ品質確保のためには、開発プロセス全体を通じた継続的なセキュリティ活動が必要です。開発者、攻撃者の2つの異なる観点を使い分け、対象製品に最適なセキュリティ活動を構築します。

詳細はこちら

製品セキュリティインシデント対応体制(PSIRT)構築支援

製品セキュリティインシデント対応体制(PSIRT)構築支援

製品の設計段階から出荷後までを対象に、インシデントなど問題発生時に対応する「PSIRT」体制の構築を支援します。現状分析をもとに脆弱性・インシデント管理の対象となる製品スコープの定義、運営体制検討を行い、脆弱性管理方針の策定をご支援します。

詳細はこちら

セキュアプロセスの構築支援

セキュアプロセスの構築支援

セキュリティ品質を維持するために、必要なプロセスの構築から運用までを支援します。

詳細はこちら

IoT製品・組み込み機器へのハードウェアハッキングテスト/トレーニング

IoT製品・組み込み機器へのハードウェアハッキングテスト/トレーニング

従来の脆弱性テストでは検知できない車両システムのIoT製品や組み込み機器、接続先のサーバーやインフラにハッキングテストを行います。セキュリティの評価を行い、隠された課題をあぶりだします。

詳細はこちら

脅威・脆弱性情報提供サービス

脅威・脆弱性情報提供サービス

経営層が事業継続に必要とするサイバー攻撃の情報を集約して毎日ご提供します。限られた時間の中で必要な情報を把握できます。また、継続して購読するとサイバー世界の動向を把握できるため、緊急時にも的確な判断が可能になります。

詳細はこちら

主要メンバー

山本 直樹

PwCコンサルティング合同会社 パートナー, 東京, PwC Japan

Email

林 和洋

PwCコンサルティング合同会社 ディレクター, 東京

Email

奥山 謙

PwCコンサルティング合同会社 マネージャー, 東京, PwC Japan

Email