IoT(モノのインターネット)やオープンソース利用が進展している。昨今、自動車や産業機器など、さまざまな産業用IoT機器を標的としたサイバー攻撃が増加している。関連企業や取引先など、サプライチェーンを経由して標的企業を狙う攻撃も増加していて、インシデント発生時の影響は広範囲に及ぶ。
ゆえに、自社製品のインシデント対応を実施する専門組織「PSIRT」による開発プロセスならびに対応プロセスの策定が重要であり、その体制構築と運用には社内外の多様なステークホルダーとの連携や対応プロセスの明確化が求められる。そのうえ、製品の設計・開発において脆弱性を残存させない仕組みを既存のプロセスに適用する必要がある――。
すでに製品開発プロセスが確立されている中で、新たなプロセスを策定し定着させることは手間や労力がかかる。PSIRTでは、最新の脅威や脆弱性など、膨大なセキュリティ情報を収集し、製品への影響を調査・分析しなければならず、その作業負荷が高いために、有効に機能しないこともあるという。
日立ソリューションズは今月6日、産業用IoT機器分野における「PSIRT構築コンサルティング」の提供を開始した。これはPSIRTの構築・運用に加え、製品開発プロセスの策定をサポート。製造業におけるセキュリティ対策の実績とノウハウを活用し、製品に関係するインシデント発生時に連携する組織や実施するアクションを明確にしたインシデント・脆弱性対応プロセスの策定に寄与するという。
セキュリティテスト工程で脆弱性診断やペネトレーションテストを実施し、脆弱性を残存させない製品開発プロセス策定も支援する。脅威・脆弱性レポートを提供して、PSIRT運用の効率向上に貢献するという。同社は、国際標準規格IEC 62443や自動車サイバーセキュリティ法規UN-R155などに基づき、トータルなセキュリティ対策を実現していく構えだ。