ネットワーク機器メーカーから始まったP-SIRT
P-SIRTは、こうしたサイバー攻撃に対応するために、ネットワーク機器メーカーから構築が始まった。ネットワーク機器の脆弱性を悪用された場合、その影響は非常に大きいものとなるためだ。
例えば、Cisco Systemsは2000年代からP-SIRTを構築。製品の製造過程で複数のサイバー攻撃対策チェックを加えることで、導入当時は約6割の製品で脆弱性が発見されたという。また、パナソニックも早期からP-SIRTを構築している。設計段階からサイバー攻撃を考慮し、製品には脆弱性診断やペネトレーションテスト(侵入テスト)なども行う。また、販売後に発見された脆弱性に対応するために、アップデート機能なども搭載した。こうした動きは、IT分野の製造業から他の分野の製造業へと広がりつつある。
パナソニックではITセキュリティや情報セキュリティ、プロダクトセキュリティ(PSIRT)の体制を整備している(「制御システムセキュリティカンファレンス 2017」講演資料より引用)
ユニークなところでは、サイボウズが2014年から「脆弱性報奨金制度」を導入している。これは、同社のパッケージ製品やクラウドサービスの脆弱性を発見し、報告した人に対し、1件あたり1000円から最大50万円までの報奨金を支払うというもの。一般ユーザーからセキュリティエンジニアまで、幅広い視点で脆弱性をチェックしてもらえるので、脆弱性を早期に発見することと、自社製品の安全性をアピールすることにもつながる。
現時点では、IT分野や家電分野の製造業を中心にP-SIRTの構築が進んでいるが、今後はさらに多くの分野でP-SIRTの構築が加速すると思われる。もちろん、分野ごとに製造におけるガイドラインは存在するが、まだまだセキュリティよりもセーフティを主眼に置いたものが多い。
自動車の自動運転の実用化が見えてきた現在、P-SIRTの構築はもちろん、P-SIRTを正式に定義するような業界団体、あるいは政府外郭団体の設立に期待したい。そうしてP-SIRTが一般化することで、CSIRTのようにIoT機器を狙う最新のサイバー攻撃や脅威情報、脆弱性情報などの共有が可能になり、多くのサイバー攻撃から一般家庭にもあるIoT機器を守ることができる。IoT機器を標的としたランサムウェアの登場も危惧されることから、こうした枠組みの実現が待たれるところだ。