NRIセキュアテクノロジーズは2018年8月30日、IoT機器メーカーをはじめとする製造業向けに「PSIRT支援サービス」を発表、同日提供を開始した。PSIRT(Product Security Incident Response Team、ピーサート)は、自社製品に関連する情報セキュリティ事故の未然防止と、インシデント発生時の対応を目的とした社内専門チームのことである。価格は個別見積もり。
NRIセキュアテクノロジーズの「PSIRT」は、自社製品に起因するセキュリティ事故に対応する組織である。CSIRT(Computer Security Incident Response Team、シーサート)がサイバー攻撃に対応するのに対して、PSIRTは自社製品に関連したセキュリティ事故に対応する。
図1:PSIRT支援サービスの概要(出典:NRIセキュアテクノロジーズ)拡大画像表示
PSIRTが取り組むべき活動は大きく2つある。1つは、「インシデントの未然防止」を目的にした活動である。自社製品を市場に出す前の段階で、その製品がセキュリティ攻撃の標的となる脆弱性を持たないように、設計や製造段階で管理の態勢・プロセス・ルールを整備する。もう1つは、出荷済みの製品でインシデントが発生した場合に、被害やその影響を最小限に抑えるための活動である。
PSIRT支援サービスでは、「文書の整備」、「現場部門への導入」、「チーム運営」の3つの観点に立って、PSIRTの構築と運営を支援する。PSIRT構築計画の立案と実装、インシデントの未然防止に係る各種業務、インシデント発生時の対応、さらにIoTセキュリティに関する管理態勢を俯瞰した評価と、これに基付く高度化までの一連の活動を支援する。
サービス提供の背景について同社は、昨今のIoT機器を標的にしたサイバー攻撃の増加にともなってPSIRTを設置する重要性が高まっている一方、他社事例やガイドラインなどのような参考にできる情報が少ないため、手探りで取り組まざるをrないことを挙げる。
