自社製品が想定外のセキュリティインシデントを引き起こしてしまう。IoTが爆発的に普及した現在、事業運営には製品に潜む脆弱性や想定外の利用をリスクとして把握、排除する必要性が生じている。この記事では、そうした背景から注目されているPSIRTについて、CSIRTとの違いにも焦点を当てながら解説する。
PSIRTとは
PSIRT(ピーサート)とは、「Product Security Incident Response Team」の頭文字からなるセキュリティ用語だ。日本語に直訳すれば、「製品セキュリティインシデント対応チーム」となる。似たようなセキュリティ用語にCSIRT(シーサート)があるが、両者は同様にインシデント対応を担うものだ。セキュリティインシデントの発生は不可避との考え方から、セキュリティインシデントに対応する専門的な組織として注目されているが、それぞれの役割は大きく異なる。以下にPSIRTとCSIRTの違いを解説する。
PSIRT
インシデントの対象が企業・組織内となるCSIRTに対して、PSIRTは自社が提供する製品(Product)にまつわるセキュリティインシデントが対象となる。企業が提供する製品が引き起こしたインシデントへの対応だけでなく、セキュリティインシデントに関連するユーザーサポートも業務に含まれる場合がある。
IoT機器が普及、一般化したことで、これら製品の影響範囲も拡大してきている。ひと昔前のように製品を提供する企業・組織は売ったら終わりという時代ではなく、製品に関連して生じ得るセキュリティインシデントへ向き合うことも求められるようになったことから、PSIRTが注目されるようになった。
CSIRT
CSIRTは「Computer Security Incident Response Team」の頭文字からなるセキュリティ用語で、企業・組織などにおいてセキュリティインシデントが発生した際に、その対応を行うチームのことだ。近年のサイバー攻撃の高度化に伴い、たとえセキュリティ対策を万全に講じたとしても、セキュリティインシデントは起こり得るとの前提に立つことが求められている。そうした認識のもとでCSIRTは構成されるチームであり、セキュリティインシデント発生時には原因の分析と対策を行い、迅速かつ最小限の被害に抑えられるよう解決を目指す。
CSIRTでは、原因分析といった技術面の対応にとどまらず、メディアへの対応など、広報的な活動を行う場合もある。対応する範囲は企業・組織の文化や業種、提供するサービス・製品などでも変わってくる。各企業・組織のCSIRTは、セキュリティインシデントへの対応支援や、サイバーセキュリティに関する情報発信を行うために設置された組織であるJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)と連携しながら、インシデント対応を行っていくことになる。
なお、CSIRTと似た組織としてSOC(Security Operation Center)が知られている。SOCとは、企業・組織内のネットワーク機器やアプリケーションのログを分析し、セキュリティインシデント発生の兆候を早期に発見することを目的とする組織である。CSIRTとSOCは異なるチーム組織であるため、両者を混同しないように注意したい。
PSIRTが注目される背景
先述のとおり、PSIRTが注目される主な背景の1つには、IoT機器の普及が関係している。従来、サイバー攻撃で対象となるのは企業内のパソコン、ルーター、プリンターなどであった。しかし、スマートフォン(以下、スマホ)に続き、2010年代に入るとIoT機器が急速に拡大する。その結果、こうしたIoT機器を狙ったサイバー攻撃が増加することとなった。
IoT機器が爆発的に普及し、さまざまなデジタル機器がインターネットに接続するようになるということは、インターネットの影響を何かしら受け得るということだ。そのため、製品の提供事業者には従来の安全性を拡張し、インターネット全盛時代においてのセキュリティが要求されている。そうした背景を受けて、セキュリティインシデントの発生を前提としたPSIRTが組織化されるようになった。
セキュリティインシデントは機器の不具合だけでなく、広範囲に悪影響を及ぼす場合もあり得る。例えば、何かしらのボットネットに組み込まれ、意図せずDDoS攻撃に加担してしまうといったケースだ。また、情報漏えいや金銭的な被害といった大規模なセキュリティインシデントにつながる恐れもある。今後も製品同士の連携などで、自社が想定していないインシデントが発生することも考えられる。そういった場合、対応が後手に回る事態を避けるためにも、PSIRTの設置が重要となるのだ。
PSIRTの業務範囲
PSIRTに求められる役割はインシデント発生時の事後対応だけではない。インシデントを引き起こさないようにするための事前対応も業務範囲に含まれる。以下にPSIRTの業務内容を整理する。
インシデントへの事前対応
自社が提供する製品について、脆弱性の有無の確認や既知の脆弱性調査などを行う。この際に重要となるのが、社内外を問わず製品の開発や生産に携わる取引先の把握だ。サプライチェーンが複雑化すると、関係する企業や組織が複雑に入り乱れ、原因の切り分けが難しくなってしまう。速やかな原因究明に至るためにも、事前に関係先を適切に把握できていることが重要だ。
PSIRTと比較すると、CSIRTの対象範囲は基本的に自社が主体となるため、状況は比較的把握しやすい。しかし、PSIRTの場合は提供製品の先にいるエンドユーザーが対象となることから、状況を把握することは相対的に難しい。また、製品の開発や生産などのプロセスにおける関係者の数も膨らみがちだ。製品という特性上、波及的に影響が広がりやすいことから、PSIRTの場合はCSIRT以上に自社のステークホルダーと広く連携する必要があるだろう。
例えば、キヤノン株式会社では全世界を対象に広く脆弱性を収集するWebサイト「Canon PSIRT」を2023年2月に立ち上げている。自社製品に関係する脆弱性情報を積極的に収集することで、脆弱性への迅速な対応を強化する取り組みとなっている。
製品のセキュリティ強化
PSIRTが収集した脆弱性などの情報を開発担当者が共有し、製品のセキュリティ強化につなげていく。必要に応じて、製品に組み込まれたファームウェアのアップデートを早急に行うケースもある。さらに、製品のリコールが必要となる場合もある。開発段階の製品について、セキュリティ強化のためにセキュリティ対策ガイドやチェックリストを作成することも業務に含まれる。
インシデント発生時の対応
インシデントが発生した際には、対応すべき範囲を明確にして速やかな対応が求められる。その初動対応を左右するのが、外部企業との連携体制と言えるだろう。先述のように、IoT機器などの製品に関するインシデントでは、原因の特定が難しいケースも想定される。事前の対応で適切にステークホルダーと連携体制を構築できていれば、迅速な対応が実現する。早急な原因特定ができれば、影響範囲が限定的となり、損失も最小限に抑制できる。
企業・組織によってはPSIRTもCSIRTと同様に広報対応を担うこともある。この場合、一元的に対応することで、エンドユーザーへのスピーディかつ真摯なコミュニケーションを実現する。いわゆる危機管理広報と呼ばれる業務であり、企業へのイメージダウンを防ぐことにつながる。
企業・組織が提供する製品・サービスの情報がインターネット経由で発信しやすくなった一方で、悪い評判も一瞬で広まる時代となった。また、昨今のサイバー攻撃の激化なども背景に、セキュリティ対策が話題となることも多い。セキュリティインシデントが原因で経営が危機的な状況に陥るようなことも実際に起こっている。
コンプライアンス重視と言われる時代において、自社が提供する製品を適切に管理していくことが求められるだけでなく、スピード感のある対応、真摯な姿勢も製品の販売動向に大きく影響する要素となっている。企業・組織としては、製品のセキュリティと適切に向き合うためにもPSIRT設置をはじめとした総合的な対策が求められている。
