by 三柳 英樹
株式会社日立ソリューションズ・テクノロジーは1日、欧米の自動車業界や医療機器業界の大手メーカーで利用が進んでいる製品セキュリティプラットフォーム「Cybellum Product Security Platform(以下、Cybellum)」を活用した、「PSIRT(Product Security Incident Response Team、製品セキュリティインシデント対応チーム)構築支援」と「PSIRT運用支援」のサービスを販売開始した。
日立ソリューションズ・テクノロジーでは、セキュリティ対策の範囲を拡大し、これまで提供してきた組み込みソフトウェアのエンジニアリング領域(セキュリティ設計・実装・テスト)に加え、新たにコンサルティング、商材活用、MSS(Managed Security Service)を含めた、製品ライフサイクル全体で脅威・脆弱性対策を支援するセキュリティソリューションを提供していくとしている。
Cybellumは、SBOM(Software Bill of Materials、ソフトウェア部品表)の管理・検証から、脆弱性の検出と優先順位付け、規制の順守、インシデント対応の管理まで、開発ライフサイクル全体のセキュリティ対策を支援するプラットフォーム。IoT製品、組み込み機器に特徴的な、マイクロコンピューターなどのアーキテクチャーのバイナリ分析を幅広くサポートしている。
Cybellumにより検出された脆弱性の深刻度や関連性を評価し、本当に対策が必要な脆弱性を見極められる。公開脆弱性情報の管理以外にも、実装時の脆弱性の作りこみチェックや、業界準拠チェックの支援機能を提供する。
日立ソリューションズ・テクノロジーでは、セキュリティコンサルティングによる製品に関するリスク評価結果と、組み込みソフトウェア開発の実績(車載機器やIoT機器などに実装した共通鍵/公開鍵暗号、デジタル署名検証、相互認証、セキュアブート、ソフトウェアアップデートなどのアセット)を基に、セキュリティの専門家が顧客のPSIRTを支援する。
PSIRT構築支援は、顧客がPSIRTを構築し、開発と運用の製品ライフサイクルを実施する際に必要なプロセス、ガイドライン、手順書の作成を支援する。スモールスタートしたい顧客には、ISO/SAE 21434規格の要件である「8.6 脆弱性管理」と「13.3 サイバーセキュリティインシデント対応」を考慮したインシデント対応手順書を提供できる。手順書を顧客の背景に合わせてカスタマイズ(テーラリング)することで、簡易に手順書一式を作り上げられる。
PSIRT運用支援は、Cybellumを活用した脆弱性管理の環境構築、脆弱性監視の運用代行、顧客の製品に影響のある脆弱性に関する情報やアドバイスを提供する。
日立ソリューションズ・テクノロジーでは、車載機器やIoT機器において、機密情報の漏えい、データの改ざん、サービス停止などの被害が発生した場合、企業は被害者から訴訟を提起されるだけでなく、企業の信頼性やブランド価値の低下、さらには多額の賠償金の支払いを余儀なくされる可能性があると説明。ネットワークに直接的/間接的に接続される製品は、製品のサポート期間中に発生する脅威からエンドユーザーを守るために、開発サイクルと運用サイクルを繰り返す継続的なセキュリティ対策が求められる。
こうした課題に対して、顧客の背景に合わせた適切なPSIRTを構築することで、セキュリティインシデントに対して迅速かつ効果的な対応が可能となり、企業全体のセキュリティリスクを大幅に低減できるとしている。
