NRIセキュアテクノロジーズは2018年8月30日、IoT機器メーカーに向けて、製造販売した製品に関わる情報セキュリティ事故(インシデント)に対応する社内専門チームを構築し、高度な運営ができるように支援するサービス「PSIRT支援サービス」の提供を始めた。サービス提供料金は個別見積もり。PSIRTはProduct Security Incident Response Teamの略で、自社が製造販売したIoT機器が関連するインシデントを未然に防ぎ、インシデントが発生しても適切に対応して影響を最小限に食い止める部署だ。
図 「PSIRT支援サービス」のサービス内容
出所 NRIセキュアテクノロジーズ
IoT機器が関連するインシデントを防止するには、発売前に製品が攻撃の標的となるような脆弱性を抱え込まないように、設計や製造の段階で管理体制、安全な製造プロセス、製造時に守らなければならないルールを整備するなどの作業が必要だ。NRIセキュアテクノロジーズのPSIRT支援サービスでは、PSIRTという組織を立ち上げる際に支援するだけでなく、PSIRTが製品の設計、製造段階で果たす役割を明確にし、その役割を果たせるように支援する。
PSIRTはもう1つ、インシデント発生時に影響を最小限に抑えるという役目もある。この面でも、インシデントに対応する際の手順書の整備や、調査、要員の訓練など、インシデント対応に必要な体制づくりを支援する。
NRIセキュアテクノロジーズは、IoT機器を標的としたサイバー攻撃が増加しているという事実を指摘し、IoT機器メーカーがPSIRTを設立する必要があると考え始めたとしている。しかし、ガイドラインや他社事例など、参考にできる情報がまだ少ないため、メーカーが独自の力でPSIRTを設立することは難しく、設立に向けて準備を始めている企業は、手探りで作業を進めているという。PSIRT支援サービスは「文書の整備」「現場部門への導入」「チーム運営」の3つの観点から、PSIRT設立と運営を支援するとしている。
■リンク
NRIセキュアテクノロジーズ
