PSIRT/DSIRT構築支援サービス

増大するデジタルリスクに対応する専門組織PSIRT/DSIRTの必要性

DX(デジタルトランスフォーメーション)の進展に伴い、ITシステムと製品/サービスの連携が進んでいます。製品/サービスそのものがデジタル化していることも増えてきました。その中で、クラウド、AI(人工知能)、IoT(モノのインターネット)等の先端技術の導入により、従来は社内基盤としてのITのセキュリティのみを考慮すれば良かったところが、サイバー攻撃の踏み台・入口は格段に増え、企業がダイレクトに攻撃を受ける恐れが高まっています。また、1サービスのインシデントがシステム全体に甚大な影響を及ぼす可能性もあります。
今まで、こうしたインシデント対応はCSIRT(※)が行ってきましたが、製品/サービスのデジタル化(DX)が進むにつれて、全社の動きをCSIRTのみでカバーするのは限界に来ています。
先端技術に潜むリスク、デジタルリスクの脅威やインシデントに適切に対応することは企業にとって避けては通れない課題ですが、もはやCSIRTを構築するIT部門やセキュリティ部門だけでは対処できず、先端技術を導入した開発部門、ビジネスパートナー等と連携して考えなければなりません。そのための組織体制として、PSIRT(Product SIRT、製品に関するセキュリティ専門組織)やDSIRT(Digital service SIRT、デジタルサービスに関するセキュリティ専門組織)を構築する必要性が高まっています。

※CSIRT  Computer Security Incident Response Team

  CSIRT PSIRT DSIRT
主管部署 ガバナンス部門・IT部門 製品開発・品質保証部門 サービス開発・品質保証部門
守る対象 全般 自社製品 自社サービス
守るモノ 自社で取り扱う機密情報・個人情報 自社製品を利用する顧客の安全・個人情報、自社製品の継続的な提供 自社サービス利用顧客の安全・個人情報、自社サービスの継続的な提供
活動 セキュリティ活動全般 製品開発ライフサイクルにおけるリスクマネジメント サービス開発ライフサイクルにおけるリスクマネジメント

 

従来は単なるセキュリティ不足などを狙った攻撃が多くみられました。しかし、先端技術を用いた製品/サービスは、最新であるがゆえに新たな脆弱性を孕んでいるため、それ特有の対策が必要になります。

先端技術 インシデント要因 インシデント(例)
クラウド 開発不備、管理体制不備 クラウド利用業者の管理範囲外のシステム障害による「大規模サービス利用停止」
開発不備、外部攻撃 パスワード未設定を狙ったサイバー攻撃による個人情報の流出
AI 開発不備 「AIの判断ミス」による自動運転事故
採用基準に男性優位と判断した「倫理上の問題」の発生
IoT 管理体制不備、外部攻撃 初期パスワードを悪用された「踏み台端末」としての不正利用
開発不備 ユーザーから許可を得ない状態での「プライバシー情報の不正取得」
ドローン・
UGV(無人車両)
開発不備 ドローンが強風に煽られ立ち入り禁止区域へ侵入
設定ミス 配送ルート内にて、通常設置されていない構造物に衝突
RPA 管理体制不備 管理者不在のロボット(野良ロボット)の出現
開発不備 処理設定ミスによる不正請求の発生

 

インシデントが発生すれば、ユーザーが危険にさらされることは明白です。もしユーザーの情報を漏洩してしまえば、その内容は名前やパスワードだけでなく、利用者の位置情報、生体や生活に関する情報等多岐にわたる可能性があります。また、先端技術を用いた製品/サービスの特徴としてアジャイル型で構築し、リリース後も都度修正をかけていくという手法が取られることが多く、そもそもインシデント対応のルールや体制が未整備である場合も見受けられます。しかし、セキュリティ対策が不十分なままインシデントが発生すれば、企業のレピュテーションは大幅に失われます。

PSIRT/DSIRT構築支援サービスは、こうした脆弱性やインシデントを最小限に抑え、迅速な対応を可能とするために、お客様のPSIRT/DSIRT体制・規程等の構築、構築内容の検証をご支援します。

このようなお客様におすすめします

  • 先端技術を用いた製品/サービスを提供しているが、社内の体制や規程が未整備である
  • CSIRTは構築しているが、先端技術の脆弱性にかかるインシデント対応に関しては体制・ルール整備が不十分である
  • PSIRT/DSIRTを構築したいが方法が分からない 等

サービスの特長

  1. お客様の先端技術を用いた製品/サービスに関するPSIRT/DSIRTを構築します
    既存のCSIRTのインシデント対応マニュアル等を踏まえ、自組織においてPSIRT/DSIRTを確立し運用するための計画策定を行います。対象になる製品/サービスのPSIRT/DSIRT体制、ルール、行動手順の構築支援を行い、加えてインシデント対応フローやアクションリスト等を作成します。
  2. 簡易シミュレーションを行うことで対応力向上を図ります
    組織で定めた体制や対策が十分に機能するかどうかを簡易シミュレーションにて検証を行います。組織内外の情報連携や意思決定、情報公開等を含め、手順通りに進められるかを確認します。関係者全員で対応や課題を確認・共有することで、認識の齟齬をなくし、組織全体の対応力を向上させます。

作業ステップ(例)

本サービスの実施期間は6ヶ月~です。最初に方針を策定するため、経営者へのインタビューを通じて、PSIRT/DSIRT対象の製品/サービスについて、顧客に提供したい価値等について確認し、PSIRT/DSIRT構築の基本方針を策定します。次に現状のインシデント対応や既存関連資料を確認した上で、先端技術を用いた製品/サービスの社内外のステークホルダーや運用時に使用するリソースについて洗い出します。対象となる製品/サービスの脆弱性とインシデント発生時のトリアージや対応フロー等を検討します。最後に検討した内容を簡易シミュレーションにて文書の有効性を検証し、マニュアル案を提示します。

サービス提供の主な流れは以下の通りです。(なお、②~⑥はワークショップ形式とします。)

成果物

ワークショップの検討結果に基づき、様々なガイドラインや他社の先進事例なども踏まえたPSIRT/DSIRTマニュアル案を作成します。

【PSIRT/DSIRTマニュアル 記載例(目次、対応フロー図)】

脆弱性やインシデント報告から対応、再発防止策導入にいたるまでの一連のプロセスについて、定義、判断基準、フローなどを明確化したものです。先端技術に関する脆弱性やインシデント管理の全てがこの一冊に集約されます。

      

 

サービス概要

PSIRT/DSIRT構築支援サービス
対象企業 クラウド、AI、IoT、ドローン・UGV(無人車両)等の先端技術に関する製品/サービスを提供するお客様
サービス概要 トップインタビューやワークショップから脆弱性やかかるインシデント対応を検討し、PSIRT/DSIRTマニュアル案を提示します
期間 6ヶ月~
価格 400万円(税別)~
成果物 PSIRT/DSIRTマニュアル

お問い合わせ

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

動画アーカイブ

セミナー動画などをご覧いただけます。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる