技術評論社サイトのロゴ

PSIRT実践ガイド 〜企業と顧客を守る戦略的アプローチ⁠〜

「PSIRT実践ガイド」のカバー画像
著者
伊藤公祐いとうこうすけ韓欣一かんしんいち林彦博りんひこひろ 著
定価
2,860円(本体2,600円+税10%)
発売日
2025.11.25
判型
A5
頁数
184ページ
ISBN
978-4-297-15259-8

サポート情報

概要

IoT製品の普及にともない、製品に対するサイバーセキュリティ問題(脆弱性)が顕在化してきています。また、製品メーカーに対する製品のセキュリティ品質確保を要求する法規制の動きも広まっており、その製品セキュリティ品質を確保するための体制(PSIRT:Product Security Incident Response Team)の整備は喫緊の課題となっています。

特に、2027年12月から完全適用される欧州の製品セキュリティ対応規制(Cyber Resilience Act)は、違反時の制裁金が高額で、欧州市場で製品を展開する多くの製品メーカーが対応を余儀なくされています。

本書は製品メーカーにおいて、PSIRT体制の整備を指示された、もしくはその整備の必要性を感じてPSIRTを構築したいが、何から始めればよいかがわからない、今更聞けないといった方々に向けたPSIRT体制構築・運用のためのハンドブックです。

実際に製造メーカーにおいてPSIRTを立ち上げ、リーダーとしてPSIRT運営を経験した筆者の経験をもとに、製品セキュリティとは何か、製品セキュリティ品質確保の必要性、 PSIRTの目的、PSIRT体制のあり方、PSIRTに求められる機能、運営に必要なリソース(人財・環境・予算)の考え方など具体的な事例を交えて解説します。また、本社と事業部門での機能分担の考え方や、グローバルな連携体制の構築についても解説します。特にPSIRTに求められる機能について、対応すべき製品セキュリティに関する主な法規制や標準の要求事項に対応できるように必要な機能を解説します。

さらに、PSIRT共通の課題であるサプライチェーン(外部コンポーネント)管理、トリアージ(優先度付け)と脆弱性、脆弱性情報の開示について、最新の技術動向も踏まえつつ、PSIRTの成熟度を高めるための方法について解説します。

こんな方にオススメ

  • 製造業においてセキュリティを担当している、もしくは製品開発を行っている人

目次

第1章 製品セキュリティに対するメーカー責任とPSIRT

  • 1‒1 製品セキュリティとは
  • 1‒2 IoT機器を取り巻く環境
  • 1‒3 IoTセキュリティの法規制や国際標準の動向
    • 1-3-1 Miraiを発端としたIoT向け法規制
    • コラム PSTI法成立までの背景
    • コラム 米国での製品セキュリティに関するガイドラインや法令の関係
    • コラム 欧州での製品セキュリティに関するガイドラインや法令の関係
    • 1-3-2 国際標準化の動向
  • 1‒4 PSIRTの存在意義

第2章 PSIRTとは

  • 2‒1 PSIRTとCSIRTのちがい
  • 2‒2 PSIRTの全体像
    • 2-2-1 「広義のPSIRT」と「狭義のPSIRT」
    • 2-2-2 PSIRTの関係者
    • コラム ソフトウェア品質とは
    • コラム 欧州PL法の改正
  • 2‒3 PSIRTに必要となる機能とその準備
    • 2-3-1 製品のセキュリティ問題発生時の取り組み
    • 2-3-2 平常時の取り組み
    • 2-3-3 PSIRTの運用準備
  • 2‒4 PSIRTに求められる人材
    • 2-4-1 対外・社内調整人材
    • 2-4-2 解析技術人材
    • 2-4-3 品質評価人材

第3章 PSIRT基本機能の構築と運用

  • 3‒1 PSIRT構築手順
    • 3-1-1 仲間集め
    • 3-1-2 内部環境の分析
    • 3-1-3 外部環境の分析
    • 3-1-4 PSIRT体制の定義
    • 3-1-5 PSIRT活動計画の策定
  • 3‒2 PSIRT構築・運用のTips
    • 3-2-1 PSIRT体制のスタイルの選定
    • 3-2-2 海外拠点の巻き込み方
    • 3-2-3 PSIRTリーダー/責任者の選び方
    • 3-2-4 PSIRTのキーポジション
    • 3-2-5 脆弱性情報収集の方法
    • 3-2-6 PSIRT運用計画
  • 3‒3 製品セキュリティ人材の育成

第4章 広義のPSIRTにしていくには

  • 4‒1 シフトレフトによるPSIRTの対象範囲の拡大
    • 4-1-1 製品セキュリティ開発標準の策定
    • 4-1-2 管理対象の拡大
  • 4‒2 PSIRTとしての成熟度の高度化
    • 4-2-1 脆弱性情報の検知能力の高度化
    • 4-2-2 脆弱性の効率的なトリアージ方法
    • 4-2-3 脆弱性開示ポリシーの整備
    • 4-2-4 環境の充実
    • 4-2-5 人材の能力向上

第5章 CRAから見るPSIRT運用ポイント

  • 5‒1 CRAについて
    • 5-1-1 CRA策定の背景と目的
    • 5-1-2 CRAの対象
    • 5-1-3 製造業に対するインパクトとは
    • 5-1-4 CRAが製造者に求める主なセキュリティ要件
    • 5-1-5 いつから対応が必要か
  • 5‒2 CRA各要求事項への対応の鍵
    • 5-2-1 CRA対象製品・第三者認証対象製品の識別
    • 5-2-2 製品セキュリティに関する各種規程・標準の整備
    • 5-2-3 CRA対応主管部門の特定
    • 5-2-4 製品ライフサイクル全体のセキュリティ教育・訓練計画の策定
    • 5-2-5 リスクアセスメントプロセスの整備・実行・監査
    • 5-2-6 サイバーセキュリティ要件への対応
    • 5-2-7 サードパーティコンポーネントのセキュリティ対応
    • 5-2-8 リリース前の脆弱性診断と証跡管理
    • 5-2-9 生産フェーズのセキュリティ対応
    • 5-2-10 SBOM対応
    • コラム SBOMフォーマットの選定
    • 5-2-11 セキュリティアップデートの提供
    • 5-2-12 技術文書・EU適合宣言書の保存

第6章 PSIRTの将来

  • 6‒1 サイバー環境の近況とPSIRTが直面する課題
    • 6-1-1 攻撃者の変化
    • 6-1-2 製品およびサービスの変化
    • 6-1-3 法規制の変化
    • 6-1-4 直面する課題
  • 6‒2 PSIRTの将来の方向性:PSIRT2.0
    • 6-2-1 PSIRT機能のスマート化
    • 6-2-2 PSIRTのトランスフォーメーション

付録A PSIRTについてもっと知る

  • A-1 国内外の製品セキュリティ関連のレギュレーションの把握
    • A-1-1 英国PSTI法
    • A-1-2 欧州無線機器指令委託法令RED-DA
  • A-2 国内外の製品セキュリティ関連の認証プログラムの把握
    • A-2-1 半導体業界標準SEMI E187・E188・E191
    • A-2-2 日本のセキュリティ要件適合評価およびラベリング制度JC-STAR
    • A-2-3 米国セキュリティラベリング制度Cyber Trust Mark
  • A-3 FIRST「PSIRT Services Framework」とは
    • A-3-1 フレームワーク作成の背景と目的
    • A-3-2 フレームワークで定義されている活動
    • A-3-3 PSIRT成熟度別に備えるべき機能
  • A-4 国内外のPSIRT整備状況調査結果

プロフィール

伊藤公祐いとうこうすけ

GMOサイバーセキュリティbyイエラエ株式会社 執行役員 グローバル戦略部 部長。

組込みセキュリティ、製品(IoT)セキュリティのガバナンスに2006年より従事。大手電子機器メーカーの製品セキュリティインシデント対応チーム(PSIRT)を立ち上げ、リーダーとして全社の製品セキュリティポリシーや製品セキュリティ開発標準(Secure SDLC)の策定、製品セキュリティに関する教育プログラムやテキストの開発と社内セミナー講師として製品セキュリティ啓発活動を推進。車載器事業部門へのWP29 UN-R155およびISO/SAE 21434対応の支援、ヘルスケア機器事業部門へのFDAガイドラインに準じたセキュリティ開発プロセスの実施支援、ネットワークカメラ部門でのIoTセキュリティ認証取得支援、無線通信事業部門での脅威分析・リスク評価支援、各事業部門でのセキュリティ対応担当者の設置など、多くの製品分野の経験を有する。2014年にIoTセキュリティ普及啓発団体を立ち上げ、製品分野別IoTセキュリティガイドラインの開発やIoTセキュリティ認証プログラムを企画開発し認証事業を立ち上げた経験を持つ。

IPAつながる世界シリーズの各種ガイドライン、IoTセキュリティガイドラインv1.0(総務省・経済産業省)などの策定、ISO/IEC 27400やISO/IEC 30149 国内検討委員会などを歴任し、現在IPA/経済産業省 セキュリティ要件適合評価及びラベリング制度(JC-STAR)技術審議委員会委員。一般社団 重要生活機器連携セキュリティ協議会ファウンダー&フェロー。

共著書『企業リスクを避ける 押さえておくべきIoTセキュリティ 〜脅威・規制・技術を読み解く!〜』(インプレス,2018)、IoTセキュリティ品質メトリクスで博士号取得。

韓欣一かんしんいち

GMOサイバーセキュリティbyイエラエ株式会社 グローバル戦略部 部長代理。

京都大学大学院修了後、大手コンサルティングファームに入社。セキュリティコンサルタントとして、Webアプリケーションのセキュリティ評価、NIST CSF/SP 800シリーズおよびISO/IEC 27001等にもとづく国際標準適合支援を通じ、国内外企業のセキュリティレベル向上に貢献。その後、IoTや自動車を中心とする製品セキュリティ領域の専門家として、標準・プロセス策定、WP29 UN-R155およびISO/SAE 21434対応支援、IoTペネトレーションテスト/ベンチマーク評価、IoT製品のフォレンジック調査など、幅広いプロジェクトをリード。内閣府主導の戦略的イノベーション創造プログラム(SIP)では、自動運転車/コネクテッドカーのセキュリティ向上に関する研究を推進し、安全貢献賞を受賞。産官学におけるさまざまなセキュリティ/ハッキングセミナーの講師を務め、国内外のカンファレンスでの講演・パネル登壇の経験を有する。

林彦博りんひこひろ

GMOサイバーセキュリティbyイエラエ株式会社 グローバル戦略本部 取締役。

大手電機メーカーにて15年以上にわたり製品セキュリティを担当。IoTデバイスのセキュリティテスト方法とリスクアセスメントの考案と展開、製品セキュリティ標準ルールとガイドラインの策定、グローバル製品セキュリティシステムの構築、本社製品セキュリティ戦略の策定、将来のサイバーセキュリティ研究と製品に重点を置いたセキュリティインシデント対応チームのためのセキュリティラボの設立など、多くのプロジェクトをリード。

製品セキュリティインシデント対応チーム(PSIRT)の責任者、全社製品セキュリティ責任者として全社の製品セキュリティ活動を推進した。 また、(ISC)² ISLA(サイバーセキュリティリーダーシップアチーブメント)APACシニアサイバーセキュリティプロフェッショナル2018の受賞。コミュニティサービススターの受賞。 Black Hat、CODE BLUE、Kaspersky Security Analyst Summit(SAS)、HITCON、政府招待の円卓会議パネリストなど、多くの国際会議で講演。