出荷前から出荷後まで──三菱電機の製品セキュリティを掌る「PSIRT」は事業部門との“協働体制”

一筋縄ではいかなかった「PSIRT」の設立

　家電、エネルギー、宇宙・通信、ファクトリーオートメーション、情報技術などの幅広い分野でグローバルに事業展開する総合電機メーカーである三菱電機。そんな同社もデジタル技術の進化にともない、サイバー攻撃のリスクが増え、社内ITはもちろんのこと、製品やサービスの安全性確保は重要課題となっている。情報セキュリティ統括室は、そうした情報システムや製品、工場の情報セキュリティ対策をとりまとめ、施策立案、構築、運用、インシデント対応を担う組織となる。

　インシデント対応は、同統括室のセキュリティ技術部に所属する3つのSIRT（Security Incident Response Team）が担当。製品・サービスのセキュリティインシデント対応担当の「MELCO-PSIRT」、社内ITやWebサイト関連のインシデント対応を担う「MELCO-CSIRT」、そして工場関連のインシデントに対応する「MELCO-FSIRT」だ。それぞれ情報共有しながら連携し、セキュリティリスクの低減に日々取り組んでいる。今回取り上げられたのは、MELCO-PSIRTの取り組みだ。

　MELCO-PSIRTの立ち上げから現在もPSIRT運営に携わる、同社 情報セキュリティ統括室 セキュリティ技術部 PSIRTグループの松井氏は、製品セキュリティに対する危機感が高まったのは2014年のOpenSSL脆弱性『Heartbleed』が発覚したときと振り返る。その後のIoTセキュリティへの関心が高まりや、他の電機メーカーでは既にPSIRTを設立している企業もあったことから、三菱電機としてもリスク対策の方向性を明確に打ち出す必要が出てきた。

　実は同社では2008年頃から国内外の公的機関やセキュリティ研究者より、同社製品に関わる脆弱性をたびたび指摘されてきた。しかし、明確な対応窓口がないために、スムーズな対応ができていなかったと松井氏。今後もこうした問題が発生したとき、速やかに対応できる体制が必須と考えた同社は、2018年4月にPSIRT構築準備チームを設置。様々な調整を経て2019年4月に“三菱電機PSIRT”を設立した。

　三菱電機PSIRTは、MELCO-PSIRTと事業部門PSIRTを組み合わせた総称だ。社外との窓口や施策の立案・展開などをMELCO-PSIRTが担当し、脆弱性対応やセキュア開発推進など現場での対策は事業部門側PSIRTが担う。

　もっとも、PSIRT設立は一筋縄ではいかなかった。原因の一つは、事業部門間のセキュリティに対する意識の温度差だ。全社向け説明会を開催し、事業部門とも何度か個別対話を重ねたが、担当する事業や製品によっては危機感が薄い。

　「既に独自のPSIRT体制を持つ事業部門もあったが、大部分はそこまでの危機感がなく、むしろPSIRT構築に否定的な意見もあった」（松井氏）

　だが、悠長なことは言っていられない。最終的には、当時の社長判断で各事業部門の管理職クラスをPSIRTマネージャーとして設置するとトップダウンで決定。「理解を得られない取り組みは、いずれ形骸化してしまう」という懸念を残しつつも、まずはPSIRT体制の構築を達成した。