JASA西日本支部主催セミナー

セミナーレポート

PSIRT設立背景

家電製品もインターネット接続による付加価値機能が増えてきておりソフトウェア（ミドルウェア）やハードウェアの脆弱性により旧来の家電製品にないリスク管理が課題である。
これまで製品事業部単位でリスク管理していたが、全社レベルで窓口・対応を一本化しPSIRTチーム発足した。

PSIRT活動の定義

製品のライフサイクル全般の脅威、脆弱性に対して、CIA（機密性、完全性、可用性）を維持するための活動である。
PSIRTは専門組織と言いながらも、通常はメインのセキュリティ対策を業務として担いつつ、有事に臨時で組織されるバーチャル組織である。

製品ベンダーのセキュリティへの取り組み

テスラなどは製品の脆弱性を報告してくれた人に報奨金を出している。
報告しても対応放置した企業は、放置したことを含めてSNSなどにさらされるケースもある。

今後の課題として

IoTの出荷台数が増えた時、情報漏洩以上に人命に影響することが懸念される。
IoTのマルウェアまで大きいインシデント脅威は高度かつ、複雑になっていく。
セキュリティは生き物であり、経営に影響する分野に発展していく。
各国法規制もさらに厳しくなり対応が必須である。
セキュリティ人材不足も深刻である。
家電は10年という反面、修正アップデートなど価格等が合わず、製品ライフサイクル上と周期が合わない問題が浮き彫りになっている。