法規制・国際標準化の潮流:品質だけでは足りない時代へ
Miraiの事件以降、各国・地域ではIoT機器のセキュリティを高めるための法規制やガイドライン、認証制度が次々と整備されてきました。日本でも、総務省と経済産業省によるIoTセキュリティガイドラインが策定されたほか、総務省によりコアルーターなどインターネットに直接接続される特定の通信機能を持つ機器を対象とした、技術適合基準へのセキュリティ要件の追加が進められました。
欧米でも、米国カリフォルニア州のIoTセキュリティ法や、英国のPSTI法など、パスワードの最低要件やサポート期間の明示、脆弱性の報告窓口設置などを求める規制が相次ぎました。
こうした動きは、「製品の安全性や品質を確保する」という従来からの要求に加えて、サイバー攻撃を前提としたセキュリティを組み込むことが、メーカーの責任として求められるようになっていることを示しています(図2)。ハードウェアの故障やソフトウェアのバグだけでなく、「攻撃者に悪用されることで第三者に被害を与えないか」という視点が、ものづくりに不可欠となっているのです。
製品セキュリティとは何か:ライフサイクル全体でサイバーリスクを管理する
では、「製品セキュリティ」とは何でしょうか。一般的な情報システムのセキュリティが、社内ネットワークやクラウドサービスなど「ITシステム」を守る取り組みであるのに対し、製品セキュリティは、メーカーが提供する製品そのものに関わるセキュリティを指します。
重要なのは、製品セキュリティが「出荷前の検査」だけで完結するものではないという点です。企画・設計段階でのリスク分析やセキュア設計方針、実装・テストにおける脆弱性対策、出荷後の脆弱性情報の収集と評価、必要に応じたアップデート配信や顧客への周知など、ライフサイクル全体にわたって継続的に取り組む必要があります。
その中心的な役割を担うのが「PSIRT(Product Security Incident Response Team)」です。PSIRTは、製品に関する脆弱性情報やセキュリティインシデントへの対応を専門的に行う組織であり、開発部門・品質保証部門・サポート部門などと連携しながら製品セキュリティの運用をリードしていきます。本連載のメイントピックであるCRAでは、事実上のPSIRT構築が求められています。
この記事は参考になりましたか?
- この記事の著者
-
韓 欣一(カン シンイチ)
GMOサイバーセキュリティbyイエラエ株式会社
グローバル戦略部 部長代理京都大学大学院修了後、大手コンサルティングファームに入社。セキュリティコンサルタントとして、Webアプリケーションのセキュリティ評価、NIST CSF/SP 800シリーズおよびISO/IEC 27001等にもとづく国際標準適合支援...※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
