製品のデジタル化やIoT化が進む中、メーカーには、製品のセキュリティ上の脆弱性によるサイバー攻撃のリスクおよびコンプライアンスリスクに対し、継続的な対応が求められています。

KPMGは、グローバルの法規制や業界標準などの豊富な知見に基づいて、有効なPSIRT(製品セキュリティインシデント対応チーム)の構築を支援します。

PSIRT(Product Security Incident Response Team)とは

PSIRT(Product Security Incident Response Team)とは、組織が開発・販売した製品の脆弱性に起因するリスクに対応するための組織内機能です。 
自社製品の脆弱性への対応、製品のセキュリティ品質管理・向上を目的として、国内の製品開発企業において徐々に設置が進んでいます。

PSIRTでは、CSIRT(Computer Security Incident Response Team) と対処またはサポートする対象が異なります。
CSIRTは社内システム・ネットワーク内のセキュリティインシデント発生をトリガーとして、被害を最小化する対応を行うのに対して、PSIRTでは製品に関する脆弱性の発見をトリガーとして、開発・販売した製品を購入したコンシューマーに対してセキュリティパッチ提供等のサポートを提供します。

PSIRT01

PSIRT構築が求められる背景

現在、製品が利用しているオープンソースのライブラリに関する脆弱性や、規格自体の脆弱性の発見件数は急激な増加傾向にあります。また、IoT機器の爆発的な増加に伴い、製品の脆弱性を突くサイバー攻撃件数も急激に増加しています。さらに、製品に組み込まれたソフトウェア等の脆弱性を放置することで、製造物責任法(PL法)等の違反に問われる恐れがあるなどのコンプライアンスリスクや自社のレピュテーションの低下につながる可能性があります。
したがって、製品の開発・販売を行う企業には、これらのサイバー攻撃リスク、コンプライアンスリスクの低減を目的とした、組織的な対応が求められています。

KPMGによる支援

PSIRTでは、収集・分析した脆弱性に関する情報に基づき、セキュリティパッチの作成にあたる開発・保守部門、コンシューマーへの通知を行う顧客窓口担当と密に連携することが重要となります。
KPMGは、PSIRT構築にあたり、これらの関連部門とのシームレスな連携、製品が使用しているライブラリの適切な管理、コンシューマーへの通知プロセスの確立などを支援します。

PSIRT02

KPMGの特長

制御システム・IoTセキュリティの専門家集団
制御システムセキュリティの標準化への関与者、生産現場の経験者、IoT機器ベンダー出身者などの専門家で構成された、制御システム・IoTセキュリティの専門チームを組成しています。

PSIRTの高度化に対するグローバルなナレッジと多数の実績
セキュリティ脅威インテリジェンスの集積・活用、高度なIoTデバイスの脆弱性診断、国際標準やガイドラインにかかる知見と、グローバルのナレッジに基づくPSIRTの高度化の支援実績を多数有しています。

テクノロジーとマネジメントの両面から支援可能
組織の現状の課題整理から、効果的なPSIRTの構築計画を立案し、PSIRTに求められる脆弱性情報の収集、脆弱性対応、セキュリティ品質向上を実現するために必要な技術的アドバイザリーに至るまで、テクノロジーとマネジメントの両面から包括的に支援することが可能です。

PSIRT03

関連サービス

お問合せ