昨今のIoT機器に対するサイバー攻撃の増加を受け,機器の開発・製造企業では製品のライフサイクル全体にわたるセキュリティ対応を担うPSIRTの整備が求められているが,セキュリティの専門知識を持つ人財の不足などにより自社のみでの体制構築・運用が困難なケースが多い。
日立が提供するPSIRTソリューションは,ITベンダーとして多岐にわたるソリューションを提供してきた経験と,製造業としてセキュリティ組織構築・ガバナンス整備を行ってきた実績・ノウハウを活用し,顧客のPSIRT構築から運用までをサポートする。
本稿では,製品セキュリティの担保に向けた日立の取り組みと,対応ソリューションについて紹介する。
インターネットにつながる家電製品やコネクテッドカーの普及に伴い,オープンソースなどを組み込むIoT(Internet of Things)機器を狙ったサイバー攻撃のリスクが増加している。
例えば,米国のある自動車メーカーではブレーキやエンジン,ドアの解錠・施錠などの遠隔操作が可能となりうる脆弱性が,医療用ペースメーカーの分野では心拍の誤作動を起こさせる脆弱性が指摘されるなど,メーカーに多大な影響を与える脆弱性が数多く見つかっている。
また,こうした背景に加えて,製品・サービスのセキュリティ確保に向けたグローバルなセキュリティ法規への対応が求められており,企業には自社の製品・サービスの脆弱性や,セキュリティインシデントについて,原因究明や対処,情報公開などを迅速に行う体制の整備が強く求められている。
そこで注目されているのがPSIRT(Product Security Incident Response Team)である。CSIRT(Computer Security Incident Response Team)がサイバー攻撃に対応する社内体制・組織であるのに対し,PSIRTは自社製品に関連したセキュリティインシデントに対応する社内体制・組織である。
PSIRTの役割は,開発,製造,市場(アフターサービス)といった製品ライフサイクル,サプライチェーンに沿って,セキュリティリスクマネジメントを推進し,また,出荷済みの製品にインシデントが発生した場合に,被害と影響を最小限に抑えることにある(図1参照)。
図1|PSIRTおよび製品ライフサイクル 製品の開発,製造,市場(アフターサービス)のライフサイクル全体に対してセキュリティリスクマネジメントを推進する。
日立は1998年よりPSIRT活動の体制を構築し,自社製品・サービスの脆弱性への対応および製品・サービスのセキュリティ品質管理・向上に向けた活動を推進している。
PSIRT活動は,製品・サービスを提供する製品開発部署と,顧客向けSI(System Integration)・サービス提供部署およびその活動を支援するPSIRT部署,品質保証部署,情報セキュリティ統括部署などの関連部署が連携・協力して推進している。製品開発部署とSI・サービス提供部署が製品・サービスへのセキュリティの作り込み,公開された脆弱性への対処やインシデント対応を実施する。PSIRT部署はPSIRT活動において主に技術面での活動を取りまとめ,関連部署と連携・協力してナレッジ提供や各セキュリティ強化施策などの展開を行っている(図2参照)。
図2|PSIRT活動体制の概要 社外SI・サービス提供部署,製品開発部署およびPSIRT部署や関連部署が連携・協力し,PSIRT活動を推進する。
製品開発部署とSI・サービス提供部署の支援において,PSIRT部署は「セキュリティ脅威への事前対処」と「サイバー攻撃に対する耐性の強化」の二つの活動を推進している。それぞれの活動概要を以下に紹介する。
図3|日立PSIRTソリューション概要 顧客企業のガバナンス強化を目的とした「コンサルティングソリューション」と,顧客の運用負荷軽減,インシデント対応の迅速化・属人性排除を目的とした「プラットフォーム・運用ソリューション」を提供している。
本章では,ITベンダーとしてのソリューション提供の実績,および製造業としてのセキュリティ組織構築・ガバナンス整備のノウハウを活用した「日立PSIRTソリューション」について述べる。
日立PSIRTソリューションの全体像を図3に示す。大きく「コンサルティングソリューション」,「プラットフォーム・運用ソリューション」の2分類があり,本章では分類ごとにソリューションの概要について述べる。また,それぞれのソリューションについて顧客への適用事例も紹介する。
図4|PSIRT構想策定の適用事例 顧客のPSIRT立ち上げに向け,現状把握結果を基にあるべき姿を検討し,組織の構想書や各種業務の手順書の作成を支援する。
図5|脅威インテリジェンス提供サービス・運用プラットフォームの適用事例 顧客のPSIRTの情報収集・仕分け業務をアウトソーシング化し,収集情報に対して技術解説などをレポートとして提供する。
本稿では,製品のIoT化・コネクテッド化に伴って増大する脅威へのセキュリティ対策について,日立自身の取り組みおよび顧客への提供ソリューションについて述べた。
今後は,PSIRT運用の高度化・自動化をキーワードに,製品への攻撃などをリアルタイムに監視・対処するPSOC(Product Security Operation Center),セキュリティインシデントの監視・意思決定などを共通プラットフォーム上で効率的に行うSOAR(Security Orchestration, Automation and Response)など提供ソリューションの拡張を進めていく。