PSIRT徹底解説セミナー：セミナー

[PR／キーマンズネット]

　車両システムの脆弱性発覚、世界規模のランサムウェア攻撃による工場稼働停止や医療機関のシステムダウンといった新たなサイバーリスクが顕在化しています。自動車、医療設備、防衛設備などで被害が出ると生死にかかわる可能性があり、機器メーカーは、情報システムはもちろん、製品、設備を含む事業全体のセキュリティを担保することが急務となっています。

　これまでメーカーの役割は、製品を製造し、その製品の品質を保証することでした。工業製品を製造していたメーカーがIoT機器などコネクテッド製品メーカーに生まれ変わるということは、その製品をインターネットに接続させるという単純なことではなく、製品の開発・試験・運用やその関連プロセス、製品のライフサイクル、顧客とのコミュニケーション手段や頻度、社外の技術者コミュニティのかかわり方など、あらゆるものを変革し、製品の設計段階から出荷後に至るまで製品のライフスタイルを通じたビジネスモデルを作り上げる必要があります。

　IoT機器のセキュリティ問題が顕在化し、法規制や国際標準の整備が進んでいます。利用者のセキュリティへの関心の高まりもあり、利用者から信頼されるIoT機器メーカーとなる対策として「PSIRT（Product Security Incident Response Team）」を備える動きが国際的に広まりつつあります。未知の脆弱性は予見できなくても、過去の事例を参考として、再発防止策を整備することは少なくとも可能です。過去事例から予見可能な問題への対策を講じることや、すでに発覚しているセキュリティ問題への早急な改修や復旧対応を行うことを怠った場合には、メーカーの社会的責任が問われる可能性があります。実際に、訴訟やリコールに発展した事例も見られます。

　IoT機器を提供するメーカーとして、製品のセキュリティ品質（セキュリティ面の安全性）を確保することは、コンプライアンス活動の一環としても重要になってきています。そして、製品を構成するソフトウェア部品がセキュリティの問題を抱えていないかを確認する責任、そして問題があった場合には適切に対処に応じる責任があります。その上でPSIRTは、製品の安全性を担保できる組織をリードするにあたり、重要な役割を担うでしょう。

　PSIRTは、CSIRT（Computer Security Incident Response Team）が対象とする情報システムにおけるセキュリティインシデント対応とは異なり、製造または販売する製品のセキュリティインシデントに対応するための組織体制です。CSIRTと同様に、セキュリティ情報の収集・検知、発見された問題の分類・分析、問題解決のための製品改修、修正した製品の公開などを担当します。これらに加え、PSIRT活動には、社内外の多様なステークホルダーとの連携、製品特性に合わせたインシデント対応方針の立案、製品インシンデントを発見するための機能開発といった特徴があり、従来の製品品質管理の活動と協調することが求められます。

　本セミナーでは、製品セキュリティに対応するための体制「PSIRT」構築にあたり必要な施策や対応すべき事項をわかりやすく解説するとともに、海外で事業を展開するメーカーが認知すべき海外の法規制の最新動向を解説します。

こんな課題を抱える方におすすめ

• PSIRT構築を検討している企業のセキュリティリーダー、実務者
• PSIRT構築に着手したが、課題を感じている企業のセキュリティリーダー、実務者

プログラム

30分	コーディネーターの立場から見る、製品開発者における脆弱性対応 サプライチェーンの複雑化や、多様なステークホルダー、海外も含めた規制や規則への準拠など脆弱性コーディネーションを取り巻く環境は常に変化しています。報告者と製品開発者の関係についても、対立から協調へ価値観が変化し、バグバウンティも出現しています。多くの企業でPSIRTが設立される中、その目的や機能について課題を抱えているという声も耳にします。本セッションでは、脆弱性コーディネーションの中でのPSIRTの振る舞い方、何から始めるべきなのかをわかりやすく解説します。 　一般社団法人JPCERTコーディネーションセンター　エンタープライズサポートグループリーダー 早期警戒グループ 　佐藤 祐輔 氏
20分	PSIRT構築に向けた具体的対応事項　〜新規構築から、SBOMを活用した運用まで〜 IoTの普及から進化に伴い、つながる製品の脆弱性を狙う攻撃のリスクが高まり、セキュアな製品づくりを推進し、提供した製品の脆弱性に対応できる体制づくりが求められています。本セッションでは、PSIRT構築における具体的な対応事項についてロードマップを使って解説します。また、SBOMを活用したPSIRT管理の高度化について、SBOMライフサイクルの全体像、業界全体での理想的な脆弱性管理の視点で解説します。 　PwCコンサルティング合同会社　ディレクター 　奥山 謙
20分	製品セキュリティ法規関連動向　〜何をWatchすべきか〜 「製品セキュリティ関連法規」には2つのタイプがあり、メーカーが対応すべき法規制はそのうちの一部です。法規制がなくても、製品のセキュリティ品質に対するメーカー責任は問われており、メーカーは、「製品は安全に使える」というコンプライアンスを守る必要があります。また、さまざまなガイドライン・国際標準なども確認し、製品展開する市場の状況を鑑みて対応要否を見極める必要があります。本セッションでは、米国・欧米の製品セキュリティ文章を解説するとともに、今後注視すべき動向もご紹介します。 　PwCコンサルティング合同会社　マネージャー 　伊藤 公祐
20分	製品セキュリティテスト　〜脆弱性を作りこまないためのテスト手法〜　製品版TLPT セキュリティテストの目的には検証と妥当性確認があり、そのどちらの観点もセキュア開発において必要になります。妥当性確認と検証はそれぞれ目的に対する基本的な思想が異なるため、取りえるアプローチも異なります。ゴールが明確な検証に対し、妥当性確認は未確認の脆弱性をあぶりだすことを目的としているため、「どこまでやればよいのか」「何をゴールとするか」を設定しづらく、攻撃に関する知識やツールが必要になります。本セッションでは、この妥当性確認について解説します。 　PwCコンサルティング合同会社　ディレクター 　山田 素久

セミナー概要

開催日時	2023年1月16日（月）〜 3月10日（金）
形式	オンデマンド配信
参加費	無料
主催	PwCコンサルティング合同会社
お問い合わせ	PwCコンサルティング合同会社　セミナー事務局　担当：横田 　jp_pwc-seminar-mbx@pwc.com

本ページでの申込受付は終了しました。参加をご希望の方は主催者までお問い合わせください