技術評論社サイトのロゴ

自社の製品を守る! PSIRTを徹底解説

2025.12.11

サイバーレジリエンス法と製品セキュリティ

2027年12月から完全適用されるサイバーレジリエンス法(CRA)をご存知でしょうか。EUが制定した法律で、EU市場で流通するデジタル製品に対し、ライフサイクル全体を通じて一定水準以上のサイバーセキュリティを確保することを義務づける法律です。デジタル製品を介したサイバー攻撃の増加や、製品のライフサイクル全体を通じたセキュリティ対策の不十分さに対処することを目的としています。違反すれば高額な制裁金が科され、製品の販売停止、回収、市場からの撤去を命じられる可能性もあります。何より、メーカーとしての信頼を著しく損ないます。製造者は製品のセキュリティに対して、これまで以上に責任が求められます。

そんななか、注目されているのが「PSIRT」です。

PSIRTとは

PSIRTは、⁠Product Security Incident Response Team」の略で、企業が提供する製品のセキュリティインシデント(脆弱性の発見や不正アクセスなど)に対応する組織のことです。

IoT機器から自動車、医療機器にいたるまで、デジタル技術で制御される多様な製品が普及し、利便性をもたらす一方で、サイバー攻撃やシステムの脆弱性に起因する新たなリスクも生まれています。これらの問題に対応すべく、製品のセキュリティを確保し、顧客に安全に製品を利用してもらうための専門チームとして、PSIRTの重要性が高まっています。

PSIRTとCSIRTのちがい

PSIRTと似た言葉で、CSIRT(Computer Security Incident Response Team)というものがあります。この2つは密接に関連していますが、対象範囲が異なります。

図1

CSIRTは、主に社内の情報システムを対象とし、セキュリティインシデントが起きた際は、対応を行います。一方、PSIRTは製造または販売する製品のセキュリティインシデント対応を専門に行います。製品のセキュリティを扱うことから、自社の品質保証部門や製品開発部門、運用保守部門、社外のステークホルダーなど、多くの関係者と連携する必要があります。

図2

PSIRTの構築・運用に向けて

最初に紹介したサイバーレジリエンス法の全面適用により、製品セキュリティの品質確保は喫緊の課題となっています。そのために必要な組織・体制が「PSIRT」です。

「PSIRTの必要性はわかったが、どうやって組織を立ち上げればよいのか」という方は、ぜひPSIRT実践ガイド〜企業と顧客を守る戦略的アプローチ〜を手に取ってみてください。実際にPSIRTを立ち上げ、リーダーとしてPSIRT運営を経験した筆者の経験をもとに、PSIRT体制のあり方、PSIRTに求められる機能、運営に必要なリソース(人財・環境・予算)の考え方など、具体的な事例を交えて解説します。

本書の著者

伊藤公祐(いとうこうすけ)

GMOサイバーセキュリティbyイエラエ株式会社 執行役員 グローバル戦略部 部長。
組込みセキュリティ、製品(IoT)セキュリティのガバナンスに2006年より従事。大手電子機器メーカーの製品セキュリティインシデント対応チーム(PSIRT)を立ち上げ、リーダーとして全社の製品セキュリティポリシーや製品セキュリティ開発標準(Secure SDLC)の策定、製品セキュリティに関する教育プログラムやテキストの開発と社内セミナー講師として製品セキュリティ啓発活動を推進。
共著書『企業リスクを避ける 押さえておくべきIoTセキュリティ 〜脅威・規制・技術を読み解く!〜』⁠インプレス,2018⁠⁠。

本書の著者

韓欣一(かんしんいち)

GMOサイバーセキュリティbyイエラエ株式会社 グローバル戦略部 部長代理。
IoTや自動車を中心とする製品セキュリティ領域の専門家として、標準・プロセス策定、WP29 UNR155およびISO/SAE 21434 対応支援、IoTペネトレーションテスト/ベンチマーク評価、IoT製品のフォレンジック調査など、幅広いプロジェクトをリード。内閣府主導の戦略的イノベーション創造プログラム(SIP)では、自動運転車/コネクテッドカーのセキュリティ向上に関する研究を推進し、安全貢献賞を受賞。産官学におけるさまざまなセキュリティ/ハッキングセミナーの講師を務め、国内外のカンファレンスでの講演・パネル登壇の経験を有する。

本書の著者

林彦博(りんひこひろ)

GMOサイバーセキュリティbyイエラエ株式会社 グローバル戦略本部 取締役。
大手電機メーカーにて15年以上にわたり製品セキュリティを担当。IoTデバイスのセキュリティテスト方法とリスクアセスメントの考案と展開、製品セキュリティ標準ルールとガイドラインの策定、グローバル製品セキュリティシステムの構築、本社製品セキュリティ戦略の策定、将来のサイバーセキュリティ研究と製品に重点を置いたセキュリティインシデント対応チームのためのセキュリティラボの設立など、多くのプロジェクトをリード。製品セキュリティインシデント対応チーム(PSIRT)の責任者、全社製品セキュリティ責任者として全社の製品セキュリティ活動を推進した。