IT & Information security Journal

  1. UNITIS
  2. セキュリティマネジメント
  3. PSIRTの取り組み拡充に向けて(その2:各取り組み成熟度の高度化編)

「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす 第6回

PSIRTの取り組み拡充に向けて(その2:各取り組み成熟度の高度化編)

はじめに

連載「『PSIRT徹底解説』製品セキュリティ統括組織PSIRTの全貌を解き明かす」の前回では、セキュリティ問題を未然に防止する、出荷前に行なうPSIRTの取り組みについて解説しました。今回は、PSIRT本来のセキュリティ対応の機能を高度化し、成熟度を上げていくための取り組みについて取り上げたいと思います。

PSIRTとしての成熟度の高度化

本来のインシデント対応をより高度に実施し、取り組みの成熟度を上げていくことは重要です。足固めができたら、以下の事例を参考に高度化に向けた取り組みを進めてみてはいかがでしょうか。

脆弱性情報の検知能力の高度化

業界団体のセキュリティWGや業界ISACへの加盟

日々多くの脆弱性情報が飛び交う中、自社製品に関係のあるものをいかに効率的かつ迅速に入手するかは、PSIRTの重要な課題です。自社製品に関わる脆弱性情報を入手する方法の1つとして、業界団体のセキュリティ・ワーキンググループ(WG)や業界ISAC 1 に加盟するということが挙げられます。

同業他社の製品の脆弱性は、自社の製品が狙われる点を把握する上で参考になる可能性があります。また業界の標準として普及しているミドルウェアが自社製品に搭載されていれば、他社と同じ脆弱性を抱えることになります。普段は競合関係にあったとしても、脆弱性情報を共有し、業界全体で攻撃に備える「ISAC」という取り組みは世界でも増えています。

SBOMを活用した監視

市場で稼働しているIoT機器のSBOM 2 を正確に整備し、日頃開示される脆弱性情報と突合させて該非判断を自動化する仕組みを作り、自社製品に対する該非判断を効率化することも検知能力を上げる方法の1つです。人間の目だけでは全ての情報を見切れませんし、脆弱性情報を見逃す、漏れるといった問題を完全に排除することはできません。

外部のセキュリティ知識の活用

社会的インパクトの大きい重要インフラ向けのIoT機器の場合、外部の脅威インテリジェンスやハッカーとのネットワーキングを活用することで、公開されていないレベルの情報を入手するなど、早期に脅威の予兆を掴むことも有効な方法となります。また、発覚した脆弱性のインテリジェンスによる詳細な分析情報は、トリアージをする際のExploitability(悪用可能性)を見極める際などにも有効な場合があります。

インシデント対応能力の高度化

社内で策定したインシデント対応手順を国際的に認められた手順に合わせていくことも、インシデント対応がしっかりと行える組織として対外的に認められる上で大切になります。国際標準としては、脆弱性の取り扱いプロセスを記載した「ISO/IEC 30111」や、脆弱性情報の開示・公表について記載した「ISO/IEC 29147」があります。この2つの取り組みは、下図のように相互に関連しています。



ISO/IEC 29147とISO/IEC 30111の関係
ISO/IEC 29147とISO/IEC 30111の関係
出典:(独)情報処理推進機構IPA「情報性キュリティ早期警戒パートナーシップにおけるグローバル化の課題と今度の方針 調査報告書」を参考に作成

インシデント対応訓練

インシデント対応は日常的に起きていることではないので、訓練を通じてインシデント対応の動きに慣れておく必要があります。自社製品に当てはまる脆弱性情報を受領した時や、顧客にインシデントが発生した時のシナリオを作成し、製品の開発部門や品質保証部門など社内の関係部門を巻き込んで、問題が発生した想定で演習を定期的に実施することが求められます。その際には、標準プロセスに沿って「誰が」「何を」「どのような手順で進めるか」ということを日頃から確認できるようにします。

この時、さまざまなイレギュラーなケースをシナリオに盛り込み、誰に判断を仰ぐかといった訓練を行えると、さらによいでしょう。例えば、発売完了となっている製品のインシデントにおいて対策を検討できる開発者が社内に残っていないケース、外注先の成果物のインシデントにおいて外注先と対応条件(改修する/しない、改修費用、改修期間など)に関して合意できないケース、脆弱性報告者とうまく折り合いがつかず対策前に脆弱性情報が開示されてしまったケースなど、イレギュラーケースによる応用力を醸成していくことも重要です。

このような演習や実際のインシデント対応の経験を通じて、標準的な手順に不備などが発覚すれば、それらに対処する形で標準的な手順を改良していくことも、成熟度を上げていく上で大切になります。

自社のPSIRTの取り組みや成熟度を確認し、高度化する方法として、FIRST 3 の提供する以下の文書も参考にするとよいでしょう。

まとめ

今回は、セキュリティ問題の未然防止となる出荷前に行えるPSIRTの取り組みについて解説しました。最終回となる次回は、PSIRTの本来のセキュリティ対応の機能を高度化し、成熟度を上げていくための取り組みについて紹介したいと思います。

※本記事は、PwCコンサルティング合同会社「「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす:PSIRTの取り組み拡充に向けて(その2:各取り組み成熟度の高度化編)」(2023年4月12日)を一部調整のうえ転載したものです。
  • ISAC:Information Sharing and Analysis Center ↩︎
  • SBOM:Software Bill of Material ↩︎
  • FIRST:Forum of Incident Response and Security Teams、世界各地の企業のCSIRT, PSIRTが集う国際的な非営利団体 ↩︎

「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす

バックナンバー(全7件)

もっと見る
林 彦博

林 彦博

PwCコンサルティング合同会社 マネージングディレクター

伊藤 公祐

伊藤 公祐

PwCコンサルティング合同会社 シニアマネージャー

UNITIS@unitis_desk

最新情報をフォローする

UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。

最新情報をフォローする

あわせて読みたい

この記事をシェアする

TOP