製品セキュリティインシデント対応体制(PSIRT)構築支援

PSIRTは、CSIRT(Computer Security Incident Response Team)が対象とする情報システムにおけるセキュリティインシデント対応とは異なり、製造または販売する製品のセキュリティインシデントに対応するための組織体制です。CSIRTと同様に、セキュリティ情報の収集・検知、発見された問題の分類・分析、問題解決のための製品改修、修正した製品の公開などを担当します。これらに加え、PSIRT活動には、社内外の多様なステークホルダーとの連携、製品特性に合わせたインシデント対応方針の立案、製品インシンデントを発見するための機能開発といった特徴があり、従来の製品品質管理の活動と協調することが求められます。PwCでは、こうした条件を踏まえたPSIRTの体制構築を支援いたします。

製品のインシデント対応を担うPSIRT

PSIRT(Product Security Incident Response Team、以降PSIRT)は、製造または販売する製品に含まれている脆弱性やセキュリティインシデントに対応するために活動します。従来のCSIRT(Computer Security Incident Response Team、以降CSIRT)は、情報システムにおけるセキュリティインシデント対応を行います。

PSIRTの特徴とは ~ CSIRTと異なる点

PSIRTは、CSIRTと同様に、セキュリティ情報の収集・検知、発見された問題の分類・分析、問題解決のための製品改修・対応、修正した製品の公開などを担当します。PSIRTはCSIRTと異なる以下のような特徴があります。

多様なステークホルダとの連携

多様なステークホルダとの連携

IoT製品、組み込み機器製品は、社内外の多くのステークホルダと連携して製品が開発されています。そのため、製品の脆弱性・インシデント対応が必要となった際に、製品開発にかかわる全てのステークホルダと連携しないと問題の解析や修正活動を運営することができません。もちろんCISRTと同様に、CS・広報活動といった顧客向け活動や脆弱性等管理団体との調整活動も必要であるため、CSIRT以上にステークホルダマネジメント活動が重要になります。

製品特性に合わせたテーラリング

製品特性に合わせたテーラリング

CSIRTはOA環境やWebサーバー環境にまつわるインシデントへの対応が主であるため、企業・業種が異なる場合でも、対応事例やベストプラクティスを活用することが可能です。一方、PSRITの場合、製品の利用期間・保証期間はどのくらいか、利用者は一般ユーザーか企業ユーザーか、もしくは専門業者なのか、優先されるセキュリティ特性CIAはなんであるかなど、個々の製品特性に合わせたPSIRT活動のテーラリングが必要です。

インシデント対応に備えた製品機能の用意

インシデント対応に備えた製品機能の用意

CSIRTでは管理対象である機器・インフラに対して、インシデント対応で必要な場合、機能・サービスの停止やセキュリティ被害の状況調査するなど、自由に対象機器にアクセスコントロールすることができます。一方、PSIRTでは、インシデント対応の対象となる製品はユーザーのもとで動作しているため、事前の用意がなければ発生しているセキュリティ事象を把握することや、初動対応などを実施することが困難となります。そのため、適切なPSIRT対応には、製品の研究開発の段階からPSIRT活動を想定した機能を開発するなど、事前の準備が重要になります。

効果的なPSIRTの展開

効果的なPSIRTの展開には各企業にとって最適な構築・運用基盤をベースとした効率的な脆弱性・インシデント管理プロセスの整備と運用が必要です。

※FIRST ”PSIRT Services Framework version 1.0”をベースに弊社独自作成

PwCのアプローチとご支援のスコープ

PwCは以下のアプローチにより、PSIRTの構築をご支援します。

方針策定支援

現状分析をもとに脆弱性・インシデント管理の対象となる製品スコープの定義、運営体制検討を行い、脆弱性管理方針の策定をご支援します。

現状分析

現状分析

規程文書の確認および貴社担当者へのインタビューを通じて、CSIRTや品質管理プロセス含む既存の対応手順や、貴社独自の要件を確認し、PSIRT構築の土台とします。

管理スコープ定義

管理スコープ定義

脆弱性・インシデント管理の対象となる貴社製品と、「設計・開発」、「試作・試験」、「製造・量産」、「市場・運用」といった製品フェーズによる管理スコープも定義します。

運営体制検討

運営体制検討

管理対象となる製品ポートフォリオの複雑度や、事業規模・形態などに応じて、PSIRTの機能や設置形態(常設、臨時)などを検討し、最適な運営組織・体制を検討します。

脆弱性管理 方針策定

脆弱性管理 方針策定

方針検討の結果に基づいて、脆弱性・インシデント管理方針を策定し、マネジメント層の承認を得ます。

プロセス検討・整備支援~ステークホルダー定義

脆弱性・インシデント管理や対応において、貴社PSIRTとの連携が必要になる社内外のステークホルダーの分析、定義をご支援します。

PSIRTと関連ステークホルダーの一例

プロセス検討・整備支援~プロセス整備

脆弱性・インシデント管理プロセスの検討・整備をご支援します。

検知(Discovery)

脆弱性情報収集チャネルの整備

  • 脆弱性報告受領:コンタクトポイント/報告方法/暗号化方法の明示、報酬プログラム設定
  • 脆弱性情報モニタリング:製品コンポーネントの把握、外部情報モニタリング手法の確立、セキュリティカンファレンスなどでの情報収集
  • 内部プロセスでの検知:SDLC内のプロセス構築、第三者評価手法の整備

View more

分類・分析(Triage & Analysis)

脆弱性トリアージ方法の明確化

  • 脆弱性判定基準の設定と継続的改善:過去事例/業界ベストプラクティス/ステークホルダーからのフィードバックなどの反映
  • 分類プロセス効率化:継続的に品質の高い報告を行う専門家の特定とデータベース化
  • 再現性確認:専門性の確保(SLAなど)、テスト環境の整備、再現ツールの活用

View more

対応・改修(Remediation)

セキュリティ改修のデリバリ管理とインシデント対応プロセス整備

  • 改修デリバリ管理:セキュリティ改修の対象/スケジュール/配布方法などの整理
  • インシデント対応:インシデント発生時の対応迅速化プロセスの整備、コミュニケーションプラン(情報配信先・チャネル、経営層への報告プロセス)整備

View more

公開(Disclosure)

関係各社間の透明性・連携関係の構築と公開計画の策定

  • 事前通知:関連ベンダー/コオーディネーター/発見者に対する適切な通知プロセス整備
  • 公開:他のベンダーや外部SIRTとの連携した公開、公開と同時にセキュリティアップデートが必要なステークホルダーに通知されるよう適切な公開方法の整備

View more

文書化支援

体制・プロセス検討の結果をもとに、脆弱性管理の各プロセスにおける役割分担表、インシデント判定基準、対応業務フロー、手順書などの整備をご支援いたします。

脆弱性・インシデント管理にかかわる文書化支援

  • 策定した方針、プロセスに基づき、業務要領を文書化します。
  • 業務フロー、インシデント判定基準、役割分担表、インシデント報告フォームなど、業務要領に付随する文書を作成します。

インサイト/ニュース

主要メンバー

山本 直樹

パートナー, PwCコンサルティング合同会社

Email

林 和洋

パートナー, PwCコンサルティング合同会社

Email

奥山 謙

マネージャー, PwCコンサルティング合同会社

Email