製品セキュリティインシデント対応チーム（PSIRT）とは

PSIRT（製品セキュリティインシデント対応チーム）は、製品やサービスに関連するセキュリティインシデントを処理して対応する、組織内のグループです。PSIRTの主な目的は、組織の製品やサービスのセキュリティに影響を与える可能性のある脆弱性や脅威を特定、評価、優先順位付けし、それに対応することです。

コンピューターセキュリティインシデント対応チーム（CSIRT）は、情報セキュリティ部門の昔ながらの常設組織です。CSIRTは、組織のさまざまな分野の専門家で構成されるチームであり、データ漏えいなどのセキュリティインシデントに対応します。近年、テクノロジー製品のメーカーは、CSIRTの社内バージョンを生み出しました。それが製品セキュリティインシデント対応チーム（PSIRT）であり、このチームは自社製品の脆弱性に対応します。テクノロジー企業は自社の製品が顧客のセキュリティインシデントにおいてどのような役割を果たすことが多いかを認識しており、そのようなインシデントを回避して影響を最小限に抑えることを目指しています。PSIRTはそれに伴って誕生しました。

PSIRTは通常、従業員のグループであり、業務委託先やコンサルタントによって補完されることもあります。これらは、会社の製品のセキュリティ脆弱性の特定、評価、修正に重点を置いています。たとえば、サーバーソフトウェアメーカーのPSIRTは、ハッカーがサーバーを乗っ取るために悪用できるコードがファームウェアに含まれていることを発見する可能性があります。この脆弱性を修正するために、PSIRTは脆弱性を分析し、問題のコードの安全な代替コードを見つけて、エンジニアリングチームに提供します。

組織的には、PSIRTは通常、会社の安全なエンジニアリング組織内に配置されます。このアプローチは、PSIRTの機能が会社のセキュア開発ライフサイクル（SDL）に確実に貢献するようにするのに役立ちます。PSIRTは、製品にセキュリティを組み込むことを目的として、要件の収集とリスクのモデリングにも参加します。

ビジネスリーダーや製品マネージャーは、さまざまな理由からPSIRTを重要視しています。少なくとも、効果的なPSIRTは、製品品質の向上とセキュリティパッチの更新の削減に役立ちます。このような成果は、コストを抑えるだけでなく、製品のセキュリティについて緩慢であると思われることを回避することで、ブランドに貢献します。

さらに重要な問題は、個々のテクノロジー製品が顧客にとってのリスクの主な原因になる可能性があるという意識が高まっていることです。たとえば、IoTデバイスのメーカーは、自社のデバイスが顧客のデータ漏えいの原因になることを望んでいないでしょう。特に侵害が発生した後に解決策を見つける準備ができておらず慌ててしまうデバイスメーカーの場合、この種のインシデントは厄介で、対処にコストがかかる可能性があります。デバイスメーカーがPSIRTを組織していれば、リスクを完全に回避するか、少なくとも問題に即座に効果的に対応できるように準備することができます。

その名のとおり、PSIRTはチームであるため、最も重要なコンポーネントは人です。PSIRTのチームメンバーは、サイバーセキュリティのさまざまな側面についての知識と経験を有している必要があります。 アプリケーションセキュリティの専門家である場合もあります。オープンソースセキュリティの経験者などである場合もあります。大企業では、PSIRTは専任のフルタイムチームである場合があります。小規模な組織では、PSIRTはフルタイム従業員からなる小規模なコアチームで構成され、組織内の他の場所で働いているが必要に応じてインシデント対応や脆弱性分析を支援することができる人によって補強される場合があります。

PSIRTマネージャーは、PSIRTの成功に非常に重要な人です。優れたマネージャーであるだけでなく、PSIRTがその役割を果たせるようにするためのポリシー、プロセス、手順の作成にも精通している必要があります。製品セキュリティを取り巻く複雑な組織のダイナミクスに精通し、優れたコミュニケーション能力を持つ必要があります。

さらに、PSIRTチームは、法務部門やコンプライアンス部門など、他の部門とつながりを持つことになります。たとえば、航空電子機器のメーカーは、自社製品の脆弱性の開示に関するFAA規制の対象となっています。PSIRTは、このコンプライアンス分野で重要な役割を果たす可能性があります。また、PSIRTは、セキュリティ問題の公開や顧客企業におけるセキュリティインシデントに関する声明について、広報チームなどの自社のコミュニケーショングループと連絡を取ります。

適切に機能するPSIRTは、確立されたポリシーと手順に基づいて稼働します。CSIRTと同様に、PSIRTは必ず、安全な環境で脆弱性を再現しようとします。次に、推定される脆弱性の深刻さと製品への影響に基づいて、PSIRTは経営陣に通知することを選択します。経営陣が脆弱性の開示を決定した場合、PSIRTは発表プロセスにおいて関連するステークホルダーと協力します。

その後、チームは脆弱性を緩和する方法を決定し、修復プロセスを開始します。これには、市場の製品に責任を負う製品管理チームと協力して改善計画を作成することが含まれます。

場合によっては、サードパーティから脆弱性を知らされることもあります。この場合、PSIRTは脆弱性を評価し、対応方法を提案する必要があります。たとえば、あるデバイスが特定のバージョンのLinuxオペレーティングシステムを使用しており、バグハンティングチームがそのバージョンのLinuxで脆弱性を発見した場合、PSIRTはその脆弱性に対処し、それについて顧客に伝えるための計画を策定する必要があります。

CSIRTとPSIRTの構造と業務プロセスは似ていますが、それぞれの重点事項はまったく異なります。CSIRTの役割は、ネットワーク、アプリケーション、データを攻撃者から保護し、会社のセキュリティを確保することです。一方、PSIRTは、自社の製品のセキュリティを確保することを目的としています。

テクノロジー企業では、効果的なPSIRTを構築するためのベストプラクティスが新たに登場しています。人員配置や組織構造に関連するものもあります。たとえば、独立したチームとしてPSIRTに人員を配置することを避け、むしろ品質保証（QA）、セキュリティ運用、ソフトウェア開発など、さまざまなグループにメンバーを分散させることでチームを構築することがベストプラクティスとなる場合があります。

PSIRTが業務を遂行するためには、適切な予算と適切なツールが必要です。PSIRTは他のユーザーが使用しているテクノロジーで何とかできると考えるのはよくありません。たとえば、PSIRTには、隔離されたテスト環境を作成するためのITリソースが必要です。多くの場合、そのためには専門の機器を調達する必要がある。

関係者の教育も、PSIRTのベストプラクティスです。すべての従業員とマネージャーが製品セキュリティを直感的に把握しているわけではありません。最高の成果は、知識が豊富で、PSIRTのミッションに「積極的に取り組む」従業員によってもたらされます。PSIRTのポリシーとプロセスの文書化もベストプラクティスの1つであり、そこからの自然な成り行きとしてトレーニングワークショップを行います。

その他にも、次のようなベストプラクティスがあります。

• 外部グループへの報告—製品に影響を与える脆弱性を追跡する外部エンティティと協力する。これは、モノを壊して、製品に隠れた問題を見つけたい人に対処することを意味する場合があります。それほど楽しいことではないかもしれませんが、セキュリティに影響を与える欠陥を見つけるための優れた方法です。
• インテリジェンス共有の自動化—社内の他のグループに脆弱性が発見されたときに自動的に認識させる。これらの関係者は、修復に関するアイデアや共有すべきその他の有益な情報を持っている可能性があります。
• 脆弱性や脅威データの公開ソースに注意を払う—Information Sharing and Analysis Center（ISAC）やGitHubなどのリポジトリに登録する。

脆弱性が特定された場合、PSIRTの主な責任は、即座に緩和に取り組み、組織が脅威に効果的に対応できるようにすることです。このプロセスには、脆弱性の詳細な分析、自社の製品への影響の特定、修復作業の開始が含まれます。

緩和プロセスは、ISO／IEC 30111などの確立されたセキュリティ標準に基づきます。この標準は、製品やサービスのセキュリティ上の脆弱性に対処するためのベストプラクティスを概説しています。これらの国際標準により、組織は脆弱性の管理に対する一貫した効率的なアプローチを維持し、サイバー犯罪者に悪用される前にセキュリティ問題に対処できるようになります。

また、PSIRTは、開発や品質保証などの他の社内チームと緊密に連携して、パッチや修正が迅速に開発およびテストされるようにします。脆弱性にすぐに完全に対処できない場合は、設定の変更やセキュリティ設定の更新など、一時的な緩和戦略を導入して、悪用のリスクを軽減します。

緩和が完了すると、PSIRTは一般的に脆弱性に関する公開レポートやアドバイザリを発行して、セキュリティ問題について顧客やパートナーに通知し、アップデートやセキュリティパッチの適用方法に関する明確な指示を提供します。また、CERT（Computer Emergency Response Team）などの外部機関と連携して、脆弱性に関する情報を共有し、業界全体で包括的に対処できるようにする場合もあります。

PSIRTの有効性の重要な要素は、脆弱性を発見して報告するセキュリティリサーチャー やサードパーティの専門家など、セキュリティコミュニティと効果的に連携する能力です。このコラボレーションでは、Common Vulnerabilities and Exposures（CVE）標準を使用することがよくあります。CVE標準は、脆弱性の普遍的な識別子を提供し、研究者、組織、顧客間のコミュニケーションの合理化を支援します。

セキュリティリサーチャーは、製品開発ライフサイクルでは明らかにならないセキュリティ上の欠陥を特定する上で重要な役割を果たします。このような欠陥を検知されないままにすると、悪性のハッカーやサイバー犯罪者が悪用する可能性があります。脆弱性レポートをPSIRTに送信することで、研究者は製品やサービスのセキュリティギャップの悪用を防ぐための最前線の防御を提供します。

これらのレポートを容易にするために、PSIRTはPGPキーなどの安全なチャネルを使用して、交換される情報の機密性を確保します。これらのレポートはPSIRTによって評価され、トリアージ（対処の優先順位付け）が行われます。これには、CVSS（共通脆弱性評価システム、Common Vulnerability Scoring System）などのツールが使用され、特定された脆弱性の重大度に基づいて緩和策の優先順位が決定されます。広範なセキュリティコミュニティとのオープンで安全な関係を促進することで、PSIRTは潜在的な脅威やマルウェアなどのセキュリティ問題に効率的に対応する能力を強化できます。