PSIRTとは？CSIRTとの違いや体制の確立方法を解説

PSIRTとは？

PSIRT（ピー・サート、もしくはピー・エス・アイ・アール・ティー）とは、Product Security Incident Response Teamの略称で、「製品セキュリティインシデント対応チーム」と訳されます。IoT関連機器を中心に、自社が製造・提供する製品やサービスにおいてセキュリティインシデントが発生した場合に対応する専門チーム（組織）のことを指します。PSIRTの役割の一つは、インシデントの発生を最小限に抑え、リスクを管理することで、製品やサービスのセキュリティレベルを向上させることです。

本来の意味でのPSIRTは、「チーム」という言葉が使われるように、組織体制を指す言葉ですが、組織体制だけでなく、製品のセキュリティレベルを向上させるための施策や、インシデント対応の仕組みなどを指す言葉として使われるようになってきています。

PSIRTとCSIRTの違い

PSIRTと似た概念にCSIRT（シーサート、もしくはシー・エス・アイ・アール・ティー）があり、Computer Security Incident Response Teamの略称で、「コンピュータ・セキュリティ・インシデント対応チーム」と訳されます。CSIRTとは、コンピュータやネットワーク上のインシデントに対応するための仕組みや組織などのことです。どちらもセキュリティインシデントを対象とするという点では同じです。ただし、PSIRTは製品などを対象とするため、開発部門や品質管理部門が関与するのに対し、CSIRTは企業内の情報システム部門が関与するという違いがあります。

PSIRTが注目される背景

PSIRTが注目される背景には、IoT関連機器の普及があります。いわゆるIoT関連機器だけでなく、自動車や医療機器などにもネットワーク接続が広がっており、さまざまなソフトウェアが搭載されています。そのため、近年では、開発、セキュリティ、運用（デリバリー）のスピードアップを目指すDevSecOpsといった開発手法が重視される傾向があります。そこでは、スピード重視のOSS（オープンソースソフトウェア）の利用が増加しています。その中には脆弱性を持つOSSも含まれており、将来的に重大なインシデントが発生するリスクが高まっています。

このような背景から、自社の製品やサービスに使われているOSSの脆弱性を早期に発見し、必要に応じて対策を講じることが不可欠です。こうした取り組みは、対象製品のライフサイクルが続く限り続けなければなりません。自動車や医療機器など、製品ライフサイクルが長い製品については、10年以上にわたるセキュリティ管理・脆弱性管理が求められます。

こうした背景を踏まえ、PSIRTは非常に重要な取り組みとして注目されています。特に欧米では、製品のセキュリティ対策が必須となっており、日本から海外に製品を輸出する際には、PSIRTによるセキュリティ管理が不可欠となっています。

PSIRTの活動範囲

PSIRT は、製品等のセキュリティ体制を構築するものであるため、PSIRTの活動範囲は製品出荷後のセキュリティインシデントへの対応と思われがちです。しかし、最近では最終的に出荷できる製品かどうかのセキュリティ評価をシフトレフトする（より上流工程で講じる）ことで、開発プロセスにおけるセキュリティレベル向上を目指す活動もPSIRTの範囲として含まれます。

出荷時の脆弱性確認

PSIRTは、出荷時（出荷前）に自社製品などの脆弱性の有無を確認します。いわゆるインシデントへの事前対応です。たとえば、製品に利用されているOSSに既知の脆弱性がある場合、ベンダーが配布しているセキュリティパッチで対応します。PSIRTが、出荷前に製品の脆弱性などの評価・確認して、問題がないと判断されればその製品が出荷されます。

製品のライフサイクル中の脆弱性継続監視

出荷された製品について、PSIRT は製品ライフサイクルが続く限り、継続的に脆弱性を監視します。万が一、脆弱性が発見された場合には、その脆弱性のリスクレベルを評価し、そのレベルに応じた対策を実施します。

PSIRTは、脆弱性データベースなどを通じて脆弱性情報を収集します。そして、収集した情報に基づいて、自社製品等に対するリスクレベルを分析・評価します。その上で、セキュリティインシデントへの対応の優先順位を決定し、より迅速かつ効果的な対応をとる必要があります。

また、開発部門に対応方法を指示し、対応後は品質管理部門にチェックを依頼するなど、全体を統括管理します。

近年、PSIRTは、重大なセキュリティインシデントが社会的に与える影響を鑑みて、広報対応（ユーザー対応）を担うことも増えています。

PSIRTの体制を確立させる方法

現在、PSIRTは重要な役割を担ってきており、企業はPSIRTを効果的に機能させるための体制を確立することが求められています。そのための仕組みとしてCSMSが注目されています。

CSMSを用いた脆弱性管理の確立

CSMSとは、Cyber Security Management Systemの略称で、サイバーセキュリティを効率的かつ効果的に管理するためのマネジメント・システムです。

今日、社会インフラや製品にはセキュリティ対策が不可欠です。CSMSは、このような対策を効率的に実施するために有益なマネジメント・システムです。

CSMSでは、開発段階からセキュリティリスクを考慮することが大前提となります。たとえば、製品の開発において、OSSを利用する場合、「そのOSSを利用することでセキュリティリスクに問題がないか」を評価します。PSIRTがセキュリティレベル向上の観点から脆弱性情報を開発部門と共有するのに対し、CSMSは開発プロセスにおけるセキュリティリスクについて、より厳格なプロセスを定義しています。

品質管理部門においてのCSMS運用の確立

開発された製品は、品質管理部門でテストなどを経て、最終的に出荷しても問題ないと判断されます。そして、PSIRTは出荷時に製品をチェックし、出荷後も継続的に製品を監視します。

品質管理は単にセキュリティリスクだけを取り上げるのではなく、セキュリティリスク以外のあらゆる製品品質も評価の対象になります。

製品ライフサイクル中の継続監視体制の確立

出荷後の監視はPSIRTの活動範囲として実施されますが、この継続的な監視についても、人的対応なのか、システム的な対応なのかなど、最適な方法、体制を確立する必要があります。

継続監視では、NVD（National Vulnerability Database）やJVN（Japan Vulnerability Notes）などの脆弱性データベースを用いて、自社製品の脆弱性を確認する必要があります。そして、発見された脆弱性のリスクレベルを評価し、対応の可否や対応方法を判断し、必要に応じて優先順位をつけます。継続的な監視体制の確立とは、これら一連の工程をシステマティックに実施できる体制を確立することです。

つまり、CSMSの概念では、PSIRTがカバーするセキュリティインシデントへの対応よりも広く、その前の段階からセキュリティ対策が始まります。CSMSは、製品ライフサイクルの最後までサイバーセキュリティをトータルにマネジメントするものです。

PSIRTやCSMS運用の確立をワンストップでサポートする「Cybellum」

丸紅情報システムズが提供する「Cybellum（サイベラム）」は、自動車、医療機器、IoT機器などのPSIRT活動だけでなく、CSMS運用の確立をワンストップでサポートするソフトウェア脆弱性管理プラットフォームです。

Cybellumは、マンパワーによる負担が大きかったPSIRTの活動を効率化し、迅速な対応を可能にするとともに、円滑なCSMS運用の確立をサポートします。

SBOMに基づく脆弱性管理

ソフトウェア部品表であるSBOM（Software Bill of Materials）に基づいた管理を実現できます。近年、欧米ではSBOMに基づく脆弱性管理が義務化されています。

バイナリ解析

一般的なソフトウェアの脆弱性管理プラットフォームでは、ソースコード解析によって脆弱性を解析します。一方、Cybellumはバイナリ解析により、脆弱性を漏れなく管理します。ソースコード解析では不可能な、開発ベンダーが提供するライブラリ（バイナリコード）にも対応します。Cybellumを使えば、ソースコードなしで最終的にリリースされるバイナリファイルの脆弱性を解析し、管理することができます。

バーチャルアナリシスト機能

Cybellumは発見された脆弱性をバーチャルアナリシスト機能によって評価します。評価は、CVSSスコア、CPUアーキテクチャ、プラットフォームのカーネルバージョン、脆弱性が発見されたOSSを実際に使用しているかどうかなど、さまざまな条件により評価されトリアージを自動で行います。

サイバーデジタルツイン機能

Cybellumプラットフォーム上のソフトウェアの各出荷バージョンのデジタルツインを継続的に監視することで、どの製品のどのバージョンに脆弱性が発見されたかを管理し、迅速に対応することができます。