書籍概要

PSIRT実践ガイド
〜企業と顧客を守る戦略的アプローチ〜

著者
発売日
更新日

概要

IoT製品の普及にともない,製品に対するサイバーセキュリティ問題(脆弱性)が顕在化してきています。また,製品メーカーに対する製品のセキュリティ品質確保を要求する法規制の動きも広まっており,その製品セキュリティ品質を確保するための体制(PSIRT:Product Security Incident Response Team)の整備は喫緊の課題となっています。

特に,2027年12月から完全適用される欧州の製品セキュリティ対応規制(Cyber Resilience Act)は,違反時の制裁金が高額で,欧州市場で製品を展開する多くの製品メーカーが対応を余儀なくされています。

本書は製品メーカーにおいて,PSIRT体制の整備を指示された,もしくはその整備の必要性を感じてPSIRTを構築したいが,何から始めればよいかがわからない,今更聞けないといった方々に向けたPSIRT体制構築・運用のためのハンドブックです。

実際に製造メーカーにおいてPSIRTを立ち上げ,リーダーとしてPSIRT運営を経験した筆者の経験をもとに,製品セキュリティとは何か,製品セキュリティ品質確保の必要性, PSIRTの目的,PSIRT体制のあり方,PSIRTに求められる機能,運営に必要なリソース(人財・環境・予算)の考え方など具体的な事例を交えて解説します。また,本社と事業部門での機能分担の考え方や,グローバルな連携体制の構築についても解説します。特にPSIRTに求められる機能について,対応すべき製品セキュリティに関する主な法規制や標準の要求事項に対応できるように必要な機能を解説します。

さらに,PSIRT共通の課題であるサプライチェーン(外部コンポーネント)管理,トリアージ(優先度付け)と脆弱性,脆弱性情報の開示について,最新の技術動向も踏まえつつ,PSIRTの成熟度を高めるための方法について解説します。

こんな方におすすめ

  • 製造業においてセキュリティを担当している,もしくは製品開発を行っている人

目次

第1章 製品セキュリティに対するメーカー責任とPSIRT

  • 1‒1 製品セキュリティとは
  • 1‒2 IoT機器を取り巻く環境
  • 1‒3 IoTセキュリティの法規制や国際標準の動向
    • 1-3-1 Miraiを発端としたIoT向け法規制
    • コラム PSTI法成立までの背景
    • コラム 米国での製品セキュリティに関するガイドラインや法令の関係
    • コラム 欧州での製品セキュリティに関するガイドラインや法令の関係
    • 1-3-2 国際標準化の動向
  • 1‒4 PSIRTの存在意義

第2章 PSIRTとは

  • 2‒1 PSIRTとCSIRTのちがい
  • 2‒2 PSIRTの全体像
    • 2-2-1 「広義のPSIRT」と「狭義のPSIRT」
    • 2-2-2 PSIRTの関係者
    • コラム ソフトウェア品質とは
    • コラム 欧州PL法の改正
  • 2‒3 PSIRTに必要となる機能とその準備
    • 2-3-1 製品のセキュリティ問題発生時の取り組み
    • 2-3-2 平常時の取り組み
    • 2-3-3 PSIRTの運用準備
  • 2‒4 PSIRTに求められる人材
    • 2-4-1 対外・社内調整人材
    • 2-4-2 解析技術人材
    • 2-4-3 品質評価人材

第3章 PSIRT基本機能の構築と運用

  • 3‒1 PSIRT構築手順
    • 3-1-1 仲間集め
    • 3-1-2 内部環境の分析
    • 3-1-3 外部環境の分析
    • 3-1-4 PSIRT体制の定義
    • 3-1-5 PSIRT活動計画の策定
  • 3‒2 PSIRT構築・運用のTips
    • 3-2-1 PSIRT体制のスタイルの選定
    • 3-2-2 海外拠点の巻き込み方
    • 3-2-3 PSIRTリーダー/責任者の選び方
    • 3-2-4 PSIRTのキーポジション
    • 3-2-5 脆弱性情報収集の方法
    • 3-2-6 PSIRT運用計画
  • 3‒3 製品セキュリティ人材の育成

第4章 広義のPSIRTにしていくには

  • 4‒1 シフトレフトによるPSIRTの対象範囲の拡大
    • 4-1-1 製品セキュリティ開発標準の策定
    • 4-1-2 管理対象の拡大
  • 4‒2 PSIRTとしての成熟度の高度化
    • 4-2-1 脆弱性情報の検知能力の高度化
    • 4-2-2 脆弱性の効率的なトリアージ方法
    • 4-2-3 脆弱性開示ポリシーの整備
    • 4-2-4 環境の充実
    • 4-2-5 人材の能力向上

第5章 CRAから見るPSIRT運用ポイント

  • 5‒1 CRAについて
    • 5-1-1 CRA策定の背景と目的
    • 5-1-2 CRAの対象
    • 5-1-3 製造業に対するインパクトとは
    • 5-1-4 CRAが製造者に求める主なセキュリティ要件
    • 5-1-5 いつから対応が必要か
  • 5‒2 CRA各要求事項への対応の鍵
    • 5-2-1 CRA対象製品・第三者認証対象製品の識別
    • 5-2-2 製品セキュリティに関する各種規程・標準の整備
    • 5-2-3 CRA対応主管部門の特定
    • 5-2-4 製品ライフサイクル全体のセキュリティ教育・訓練計画の策定
    • 5-2-5 リスクアセスメントプロセスの整備・実行・監査
    • 5-2-6 サイバーセキュリティ要件への対応
    • 5-2-7 サードパーティコンポーネントのセキュリティ対応
    • 5-2-8 リリース前の脆弱性診断と証跡管理
    • 5-2-9 生産フェーズのセキュリティ対応
    • 5-2-10 SBOM対応
    • コラム SBOMフォーマットの選定
    • 5-2-11 セキュリティアップデートの提供
    • 5-2-12 技術文書・EU適合宣言書の保存

第6章 PSIRTの将来

  • 6‒1 サイバー環境の近況とPSIRTが直面する課題
    • 6-1-1 攻撃者の変化
    • 6-1-2 製品およびサービスの変化
    • 6-1-3 法規制の変化
    • 6-1-4 直面する課題
  • 6‒2 PSIRTの将来の方向性:PSIRT2.0
    • 6-2-1 PSIRT機能のスマート化
    • 6-2-2 PSIRTのトランスフォーメーション

付録A PSIRTについてもっと知る

  • A-1 国内外の製品セキュリティ関連のレギュレーションの把握
    • A-1-1 英国PSTI法
    • A-1-2 欧州無線機器指令委託法令RED-DA
  • A-2 国内外の製品セキュリティ関連の認証プログラムの把握
    • A-2-1 半導体業界標準SEMI E187・E188・E191
    • A-2-2 日本のセキュリティ要件適合評価およびラベリング制度JC-STAR
    • A-2-3 米国セキュリティラベリング制度Cyber Trust Mark
  • A-3 FIRST「PSIRT Services Framework」とは
    • A-3-1 フレームワーク作成の背景と目的
    • A-3-2 フレームワークで定義されている活動
    • A-3-3 PSIRT成熟度別に備えるべき機能
  • A-4 国内外のPSIRT整備状況調査結果

サポート

現在サポート情報はありません。

商品一覧