出荷前から出荷後まで──三菱電機の製品セキュリティを掌る「PSIRT」は事業部門との“協働体制”

不足するセキュリティ人材を育成すべく“集合研修”を実施

　活動基盤整備ではセキュリティ対策を継続的に強化するための取り組みを実施している。その柱の一つが、教育プログラムだ。「全社的にセキュリティ人材が不足しており、特に事業部門側のリーダー層の育成が急務」と述べる松井氏は、昨年度からテクニカルリーダー育成のための集合研修を開始したと説明する。同研修は、各製作所から毎年1～2名を派遣してもらい、1年目と2年目にそれぞれ5日間の対面型集中講座。対面にした理由を松井氏は「知識習得だけでなく、人脈作りの場としても活用してもらいたいという意図がある」と話す。加えて、セキュリティの基礎から高度な開発者向け講座、経営層向け講座など、自由に受講できるeラーニング講座も順次企画しているという。

　また、法令対応や契約書の整備にも注力。国内外の製品セキュリティに関する法規制の動向を調査し、最新情報を社内に展開している。さらに、コンポーネントサプライヤー向けには、脆弱性発見時の対応を規定する契約書のひな形を整備した。社内PSIRTの体制と役割を明確にする規程を整備し、必要に応じて順次見直すことも進めている。

SBOM対応は必須だが現状は不透明……動向を注視

　三菱電機では、サイバー脅威の変化や法整備の進展に後れを取らないよう、全社的な製品セキュリティ意識の向上と、事業部門全体のセキュリティレベルの底上げを今後も継続していく考えだ。特に、法規制で要求されているSBOM（ソフトウェア部品表）については、作成が義務化されつつあるものの、「作成したSBOMがどのように流通し、どのように活用されるのか、まだ見えていない部分もある」（松井氏）として、今後の動向を注視していく構えだ。

　SBOMの整備によりOSSコンポーネントの脆弱性検知が可能になる一方で、膨大な数の脆弱性が検知されることも懸念される。今後、SBOMを本格的に活用するためにも、検知された脆弱性のトリアージや対応方針をしっかりと検討し、整備していくことが重要とし、効果的な管理体制の確立を急ぐ。

　人材育成についても、技術力の向上に加え、社外のセキュリティリサーチャーや社内の事業部門・製品担当者との対話スキルも重要と認識。「今後は技術だけでなく、コミュニケーション能力の鍛錬にも注力していきたい」と松井氏は述べ、より実践的なセキュリティ人材の育成を目指すとした。