出荷前から出荷後まで──三菱電機の製品セキュリティを掌る「PSIRT」は事業部門との“協働体制”

出荷前から出荷後、全体を下支える基盤整備の3領域で対策

　PSIRT設立後も、セキュリティ脅威の状況は変化し続けた。特に同社が大きな危機感を覚えたのが、サプライチェーン攻撃の増大だ。2020年に発覚したSolarWinds製品への大規模サプライチェーン攻撃では、攻撃者が製品開発環境に侵入し、正規のアップデートモジュールにバックドアを仕込み、マルウェアを拡散させた。製品で使用するコンポーネントを正しく把握し、適切に管理することの重要性を改めて認識したと松井氏は述べる。

　こうした変化を受けて、法整備も急速に進んだ。欧米ではソフトウェア部品表（SBOM）の作成を義務付ける法令が発行された。EU域内で販売されるすべてのデジタル製品を対象にSBOM作成を要求事項に設定する「EUサイバーレジリエンス法」もその一つだ。

　国内では、IoT製品のセキュリティ要件適合レベルを評価してラベル表示する「IoT製品に対する適合性評価制度」が始まり、2025年3月より評価申請の受付を開始。2024年5月からは、経済安全保障推進法に基づくリスク管理措置の実施状況の届け出制度「基幹インフラの安定的な提供の確保に関する制度」が始まっている。

　以上の状況を踏まえ、三菱電機PSIRTはセキュリティ上の欠陥により被害や影響を出さないために、出荷後、出荷前、活動基盤整備の3つの領域でセキュリティ施策を実践している。

脆弱性の指摘を積極受付／発見後は担当部門に通達

　製品出荷後は、脆弱性ハンドリングと構成品目管理システムの運用を実施している。

　脆弱性ハンドリングとは、製品利用者を特定できない、いわゆる量産製品に関する脆弱性の指摘を受けたとき、ガイドラインや国際標準に従って関係各所と連携し、脆弱性情報や対策情報を公開、周知。脆弱性の被害を最小限に食い止めるための活動だ。

　三菱電機では、脆弱性報告窓口となるWebページを開設した。報告はMELCO-PSIRTがいったん受け付けてから、製品担当部門へ調査を依頼する流れだ。脆弱性が確認されれば、CVE ID（脆弱性に関する一意の識別番号）を採番。その後、タイミングを合わせる形で自社Webページ、JVN、CISAでの情報公開を実施する。CVEを管理するMITREに通知し、NISTが管理する脆弱性情報データベースのNVDにも掲載を促す。最後は、情報公開の旨を発見者に報告して、完了だ。

　ここまでスムーズな対応ができる要因の一つに、自社製品の脆弱性に限ってCVE IDを独自に採番できる「ベンダーCNA（CVE採番機関）」に三菱電機が認定されているからだという。「脆弱性ハンドリングについては、三菱電機は国内ではかなり積極的に取り組んでいる方ではないかと自負している」と松井氏は述べた。

　構成品目管理システムでは、ハードウェア部品やソフトウェア部品をSBOM形式で入出力できる形で登録・管理している。これにより、構成品目の脆弱性がJVNやNVDなどで公開された場合、すぐに該当製品の担当部門やPSIRTにメール通知が飛ぶという。