出荷前から出荷後まで──三菱電機の製品セキュリティを掌る「PSIRT」は事業部門との“協働体制”

バラつきのあった開発環境のセキュリティレベルを底上げ

　出荷前のフェーズでは、大きく4つの取り組みを実施している。

　1つは、セキュア開発環境の構築だ。以前は事業部門が各自で開発環境を用意していたため、セキュリティレベルにバラつきがあったと明かす松井氏。そこで、MELCO-PSIRT側でセキュア開発を実践するための仕組みを提供することとし、IDE環境での脆弱性解析を実施するツールの提供や、アクセス制御をかけたDevOps環境内でのソースコードおよびOSSの脆弱性解析を実施する体制を整えた。

　2つ目は、脆弱性リモート診断サービスの提供だ。MELCO-PSIRTが事業部門の拠点にある製品やシステムを対象に、市販ツールを活用したリモート診断を実施。

　「診断結果は事業部門が理解しやすいように、詳細な報告書として編集し、具体的な対策を提示している」（松井氏）

　3つ目はセキュリティガイド文書の作成だ。脆弱性を作り込まないために、事業部門向けのガイドラインを整備し提供。製品企画～設計・開発～試験、運用といった各プロセスで適用すべきセキュリティ対策を明確にすることで、開発者が適切なセキュリティ対策を実践できるよう支援している。

　4つ目は成熟度モデルの整備だ。国際規格を基準に、各事業部門のセキュリティ対策の成熟度を評価する仕組みを導入。「組織全体でセキュリティ意識を向上させ、開発プロセスを強化することが重要」と述べる松井氏は、継続的なセキュリティ向上に取り組むことの大切さを語った。