※1 Product Security Incident Response Team
「【第1回】日立のマネージドセキュリティサービス(MSS)がゼロトラスト時代の監視・運用をトータルにサポート」はこちら>
製品セキュリティマネジメントの重要性
株式会社 日立製作所
マネージドサービス事業部
セキュリティサービス本部
プロダクトセキュリティソリューション部
塩入 亮太
サイバーセキュリティの脅威が増大するなか、ITシステムのみならず、自動車や医療機器などインターネット接続されたIoT機器への攻撃が年々増加しています。
「ITシステムのインシデントはデジタル領域に閉じた形で発生します。こちらも相当の被害が発生することは言うまでもありません。しかしIoT機器におけるインシデントはエンドユーザーの人命や社会インフラの危機につながるため、メーカーの責任が強く問われ、経営へのインパクトが大きくなる傾向があります」と警鐘を鳴らすのは、日立製作所で長年にわたりIoT/セキュリティ関連ソリューションの企画・拡販に携わってきた塩入 亮太です。
社会的なインパクトの高まりとともに、製品セキュリティに関する法規制やガイドラインの整備も進んでいます。特に、より人命に関わるといえる医療業界や自動車業界では、機器の認証やセキュリティ対応の義務化、法制度化がグローバルで進んでいます。
「IoTに関連するガイドラインが世界各国で発表されていることもあり、コンプライアンスの観点も含め、今後も製品セキュリティマネジメントの重要性はますます高まっていくといえるでしょう」と塩入は続けます。
こうした観点から日立は、デジタル技術を活用し、組織横断型のアプローチを行うことによって、サイバーレジリエンスの高いセキュリティを確立することを「製品セキュリティのデジタルトランスフォーメーション(DX)」と定義。「経営層」「PSIRT」「設計・開発・QA」という3つの領域それぞれが明確な役割を持ち、相互に連携したセキュリティ体制を確立することが重要だと考えています。
その中でも近年、特に注目されているのが、自社で製造・開発する製品やサービスを対象に、セキュリティレベルの向上やインシデント発生時の対応を行う組織「PSIRT」です。PSIRTの役割は、開発、製造、市場(アフターサービス)といった製品ライフサイクル(サプライチェーン)に沿って、セキュリティリスクマネジメントを推進し、出荷済みの製品にインシデントが発生した場合も含め、被害と影響を最小限に抑えることにあります。
「しかしPSIRTでは従来、急増する脆弱性・インシデント対応に時間がかかってしまうことや、人員を増やそうにも要員確保や人財育成が進まず、対応が属人化しているといったケースが見受けられました。これらの課題に対し、製品セキュリティのDXを推進することで、自社製品のリスクの可視化による迅速かつ正確な脆弱性・インシデント対応の実現や、ツール・AIの活用によるインシデント対応業務の効率化が可能になります」と、塩入は指摘します。
IoT危機を狙うサイバー攻撃によるインパクト
製品セキュリティ運用の高度化を支援する日立PSIRTソリューション
そこで日立は、製品セキュリティ運用の高度化を支援する「日立PSIRTソリューション」を提供しています。本ソリューションは、お客さまが抱える業務課題に対して、「Plan(構想策定・計画)」「Build(構築)」「Manage(運用管理)」という3つの視点からアプローチし、「ガバナンスで守る」領域と、「システム・運用で守る」領域それぞれに対して「コンサルテーション」「プラットフォームサービス(分析・運用)」という2つの観点での各種サービスを提供。お客さまのサイバーレジリエンス向上の実現に向け、継続的に支援していきます。
塩入はまず、コンサルティングサービスの概要を次のように説明しました。
「コンサルティングサービスでは標準的なPSIRTフレームワークに沿ったメニューを整理しています。『PSIRT構築・構想策定』といった方針決定の段階から、『セキュリティ人財育成戦略策定』といった教育、『インシデント対応訓練』による啓発、『リスクアセスメント』による点検に至るまで、お客さまのあらゆる状況に合わせたサービス提供が可能です」
次に、プラットフォームサービスに位置づけられている中から、「脅威インテリジェンスサービス」と「PSIRT運用サービス」が紹介されました。
「脅威インテリジェンスサービス」は、DX技術を活用することで最新のセキュリティ情報の収集・仕分け・トリアージを効率化・省人化するもので、「情報収集・分析業務のBPO化」を支援するものとなります。
「月約30万件に及ぶ膨大な情報の収集業務や仕分け、影響度分析など、専門性の高いPSIRT業務を日立がアウトソーシングサービスとして請け負い、お客さまの業界や製品、サービスに関連する脅威・脆弱性情報を選別し、製品への影響を評価します。これによりお客さまはインシデント対応などの重要業務に注力いただくことが可能です」と塩入は言います。
「PSIRT運用サービス」は、SaaSサービスであるServiceNowと連携し、その多彩な標準機能と、日立のコア技術である脆弱性検索エンジンを組み合わせて提供します。
「自然言語処理技術を活用し、手作業では処理不可能な膨大な量の照合作業を自動化することで、迅速で正確なインシデント検知を実現するサービスです。お客さまPSIRTの主要業務であるインシデント管理業務において、情報の一元管理、業務の自動化を実現し、運用負荷の軽減だけでなく、インシデント対処の迅速化・確実性の向上を支援します」と、塩入はその特長を説明します。
日立のPoC事例では、SBOM※2情報800件、脆弱性情報15万件の場合、全件照合を約90分で実現しているケースもあり、さらなる技術開発を推進しています。
「このほかにも日立PSIRTソリューションでは多岐にわたるサービスを用意しています。今後もサービスを拡充し、お客さまPSIRT運用の高度・自動化を継続的に強化していきます」と、塩入は力強くアピールしました。
※2 Software Bill Of Materials
日立PSIRTソリューションの概要
他社登録商標
本記事に記載の会社名、商品名、製品名は、それぞれの会社の商標または登録商標です。
PDF形式のファイルをご覧になるには、Adobe Systems Incorporated (アドビシステムズ社)のAdobe Acrobat Readerが必要です。
