「【第6回】生成AIが、手書きスケッチから3Dモデルを生成」はこちら>
高まるPSIRTの重要性
——最近PSIRTという言葉をよく見聞きしますが、どういう背景があるのでしょうか。
粕谷
近年、IoT製品を狙ったサイバー攻撃が急速に増えており、各企業においてPSIRT強化の動きが高まっています。PSIRTとは、製造業がお客さまに提供する製品やサービスに対して、脆弱性の修復やセキュリティインシデントへの対処を行う組織のことです。
いまIoTは、製造現場はもとより医療施設や交通インフラ、さらには住宅などますます私たちの身近な存在になりつつあり、IoT製品のメーカーはPSIRTをしっかり機能させて、ビジネスや暮らしの安心・安全を守らなければなりません。
またここ数年、サイバー攻撃によって工場の生産ラインが停止するというインシデントが続いていますが、攻撃者は明らかにサプライチェーン全体への波及を狙っています。こうした背景から、完成品メーカーはPSIRTを強化し、サプライチェーン全体にわたるセキュリティリスクマネジメントを実行することが必須の課題となってきています。同時に、部品サプライヤー各社においても、自社が踏み台にされないためにPSIRTの強化は不可欠な状況です。
さらにこれからの社会を想像しても、例えば自動運転中の自動車に対してサイバー攻撃が行われた場合、人命に関わるインシデントになることが容易に予想されるなど、将来のIoT市場の拡大・高度化にともないPSIRTの重要性はますます高まる一方です。
大谷
日立ではこれまでお客さまのPSIRTの構築・構想策定や、教育、訓練などのコンサルティングから、PSIRTの運用・監視までをトータルに支援するPSIRTソリューションを提供し、製造業の自社製品への脆弱性対処を支援してきましたが、今回、新たにPSIRT運用プラットフォームに脆弱性分析サービスを追加することで、お客さまのセキュリティ知見や人財不足の課題に応えるべくPSIRTソリューションを強化しました。
PSIRTの強化に欠かせない要件のひとつが、迅速性の向上です。脆弱性が発覚すると、IoT製品への攻撃のリスクは時間単位で高まっていきます。PSIRT運用プラットフォームは、これまで部門ごとにバラバラに管理されていた脆弱性情報や製品構成情報の一元管理を実現し、製品への脆弱性の影響が確認されたらチケットを発行し対処をワークフロー化するなど、効率的かつ確実なPSIRT運用を支援します。そして今回追加された脆弱性分析サービスは、脆弱性情報から製品が影響を受ける条件を、生成AIを活用してチェックリスト化し、セキュリティ知見を補うことで、対処のさらなる迅速化を支援するものです。
迅速・確実な脆弱性対処に必要な機能を統合し、プラットフォーム化。
脆弱性情報の調査時間を45%削減
——脆弱性分析サービスについて、具体的に教えてください。
粕谷
ウェブにはNVD*¹やJVN*²など、世界中の研究者によって発見された脆弱性情報を集約し、公開している脆弱性データベースが目的や対象ごとに複数、存在しています。PSIRT運用プラットフォームでは、そうしたサイトでCVE*³などの新しい脆弱性情報が公開されると同時に自動収集します。
PSIRT部門は、脆弱性情報を入手すると設計開発部門に、自社製品に該当しないか、まず確認作業の指示を出します。ただ脆弱性情報はセキュリティの専門家の手で書かれており、セキュリティの知識が少ない設計開発部門の担当者には理解が難しい場合があります。この場合、社内のセキュリティに詳しい人に見解を聞くなどのやり取りが発生し、対処が遅くなってしまうことがあります。
脆弱性分析サービスでは、専門的な内容の脆弱性情報を生成AIで解析し、設計開発担当者が確認すべき項目を、ソフトウェアなのか、コンポーネントなのか、関数なのか、調査する観点に分けて、分かりやすい自然言語でリスト化します。これにより設計開発担当者は脆弱性が自社製品に該当するか、しないかの確認作業を迷わず進められ、該非判定を迅速化することができます。
*1 NVD(National Vulnerability Database)とは、米国の国立標準技術研究所 (NIST) が運営する、ソフトウェアやIT製品などの脆弱性情報を集めたデータベース。
*2 JVN(Japan Vulnerability Notes)とは、経済産業省告示「ソフトウェア等脆弱性関連情報取扱基準」を受けて、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供するサイト。
*3 CVE(Common Vulnerabilities and Exposures)とは、MITRE社が管理する世界中のソフトウエア・ハードウェアの脆弱性に一意のIDを割り振る仕組み。NVDはCVEリストをもとに構築されている。
脆弱性分析サービスにおいて、生成AIが自動作成するチェックリストのイメージ。
大谷
実証では、この脆弱性分析サービスを追加したPSIRT運用プラットフォームの適応により、脆弱性の影響に関する調査時間を45%削減することができました。これによりパッチの適用など最終的な対策の迅速化にも寄与し、製品の信頼を脅かすリスクの低減を支援します。
PSIRT運用プラットフォームと脆弱性分析サービスによる脆弱性対処にかかる時間の削減効果の例。
脆弱性対処の質も向上
——脆弱性の影響調査は、PSIRTの中核的なタスクです。その時間を45%削減できるのは迅速な対処をめざすうえで大きな意味がありますね。
大谷
脆弱性分析サービスは対処の迅速性だけではなく、確実性の向上も支援します。例えば、PSIRT担当者ごとにセキュリティの知識量はどうしても異なってしまいますが、生成AIを活用することによってスキルや経験に関わらず抜け漏れのないチェックリストを作成することが可能です。
また、これまで担当者によってバラバラだったチェックリストのフォーマットも、統一することができます。このチェックリストを、PSIRT部門と設計開発部門がPSIRT運用プラットフォーム上で共有することにより、対処の進捗状況、対処策の部門間比較、対応エビデンスの保管の状況などPSIRTの運用状況を俯瞰で確認でき、脆弱性対処の確実性をさらに高めることができます。
——しかし生成AIと聞くと、どうしてもハルシネーションのリスクが気になります。
粕谷
今回のような、脆弱性情報から要点を抽出する、という生成AIの使い方では、情報内で言及されていないことを回答するといったハルシネーションは起こりにくいと考えており、実証においても発生はしていません。しかしその一方で、本来ならチェックリストに載せるべき情報が漏れてしまうという事象が、実証で起きました。社会インフラに関わるIoT製品において脆弱性対処を行う際、作業のベースとなるチェックリストに漏れがあることは許されません。仮に無駄な情報が混ざったとしても最終的には人間の判断で対処するため大きな問題にはなりにくいですが、必要な情報が漏れることだけは避けなければなりません。
——それでは次回は、どのようにチェックリストから確認項目が漏れることを回避したのか、聞いていきたいと思います。
粕谷 桃伽(かすや ももか)
株式会社 日立製作所 Digital Innovation R&D
システムイノベーションセンタ セキュリティ&トラスト研究部
入社後、製品セキュリティの研究に従事。主に、自動車に搭載されるECU(Electronic Control Unit)への不正侵入を検知するセキュリティ機能の研究に取り組む。その後、PSIRTの研究に移行し、脆弱性の分析と再発防止策の確立などに取り組んでいる。
大谷 直輝(おおたに なおき)
株式会社 日立製作所 マネージド&プラットフォームサービス事業部
エンジニアリングサービス&セキュリティ本部 プロダクトセキュリティソリューション部
入社以来、産業分野を中心に製品セキュリティ関連の業務に従事。お客さまにとって有効なPSIRT構築のためのコンサルティングから、PSIRT運用プラットフォームの円滑な導入、運用までを一貫して支援。現在もお客さまのPSIRT運用に伴走し、製品セキュリティ管理における課題の抽出と解決策のサービスへの反映に取り組んでいる。
PDF形式のファイルをご覧になるには、Adobe Systems Incorporated (アドビシステムズ社)のAdobe Acrobat Readerが必要です。
