インターネットに接続するコネクテッド製品がネットワークを介してサイバー攻撃を受けるリスクが高まり、セキュリティを考慮した製品開発、インシデント対応態勢の整備が急務となっている。
今回、両社はコネクテッド製品のセキュリティリスクを極小化するために、段階に応じたサービスを包括的に提供する。
具体的には、研究・開発工程での「セキュア開発ライフサイクル(SDLC :Secure Development Life Cycle)構築支援」、製品のハードウェア・ファームウェアに入り込んだ脆弱性を診断する「ハードウェアハッキング」、万が一のサイバーインシデントに対応する「製品セキュリティインシデント対応体制(PSIRT:Product Security Incident Response Team)構築支援」などを提供し、製品の安全性確保を支援する。
製品のセキュリティを確保するためには、開発プロセス全体を通じ、脆弱性が入り込んだタイミングで迅速に取り除くことが効果的だ。セキュア開発ライフサイクル(SDLC)構築支援では、製品をセキュアに作りこむ開発者視点と、脆弱性を発見する攻撃者視点という2つの異なる観点を組み合わせ、対象製品に最適化されたセキュア開発ライフサイクルの構築を支援する。
ハードウェアハッキングでは、現実の攻撃者と同じ条件でハードウェアハッキングを遂行するスキルを持つスタッフによる、完全ブラックボックステストによる実証評価を通じて、製品に含まれるハードウェア、ソフトウェアに潜む脆弱性の早期発見を支援する。また、自社で脆弱性を診断・特定するためのスキル習得を目的としたハードウェアハッキング・トレーニングを提供する。
PSIRTとは、CSIRT(Computer Security Incident Response Team)が対象とする情報システムにおけるセキュリティインシデント対応とは異なり、製造または販売する製品のセキュリティインシデントに対応するための組織体制。CSIRTと同様に、セキュリティ情報の収集・検知、発見された問題の分類・分析、問題解決のための製品改修、修正した製品の公開などを担当する。さらに、PSIRT活動には、社内外の多様なステークホルダーとの連携、製品特性に合わせたインシデント対応方針の立案、製品インシンデントを発見するための機能開発などが該当する。
2社は、PwCグローバルの3000人を超えるサイバーセキュリティメンバーと連携し、さらに製造業界の企業に対するサービス提供を通じて培った知見を加え、コネクテッド製品のセキュリティ対策を包括的に支援していく考え。