JPCERT コーディネーションセンター(JPCERT/CC)は7月19日、メーカーなどが自社製品のセキュリティに対応する「PSIRT」を構築・運用していくための資料「FIRST PSIRT Services Framework Version 1.0 Draft 日本語抄訳版」を公開した。
PSIRT(Product Security Incident Response Team)は、企業などが開発・提供する製品およびサービスに関する脆弱性への対応や品質の管理・向上などを担う仕組みや体制などを指す。セキュリティ課題などに対応するCSIRT(Computer Security Incident Response Team)の一つに当たり、近年は国内でも製造業などを中心に整備が進む。
PSIRTの基本的なイメージ。製品のセキュリティ対応(例えばファームウェアのセキュリティ更新など)では、製品開発部門や顧客サポート部門、製品管理部門などの連携や調整を担う(出典:FIRST PSIRT Services Framework Version 1.0 Draft 日本語抄訳版)
資料は、国際的なCSIRT連携機関のFIRST(Forum of Incident Response and Security Teams)がPSIRTの設置や継続的な運用と能力向上を支援する目的で作成しているガイドを、JPCERT/CCとSoftware ISACが共同で翻訳したもの。PSIRTを運営しているパナソニックとソニーがレビューを行っている。
フレームワークについてJPCERT/CCは、PSIRTの組織モデルや機能、サービス、成果などの全体像を示すと同時に、PSIRTが果たすべき責任と活動に必要な能力、組織内外との連携などついて解説しているとし、メーカーなどは製品のセキュリティに関する消費者などのステークホルダーからのニーズに応えるために活用できるとしている。