PSIRT構築コンサルティング

製品開発・販売時に発生する製品のセキュリティインシデントに対応する組織(PSIRT)の構築を支援します。

こんな課題に

  • プロダクトのセキュリティ対策や、それに関連するインシデントが発生した際の対応を行う組織を構築したい

PSIRTとは

PSIRT(Product Security Incident Response Team)とは、開発または販売しているプロダクト(サービスを含む)にて発見された脆弱性への対応や、脆弱性を要因とするセキュリティインシデント発生時の対応を行う組織またはその活動を指します。PSIRTは、情報システム部門や開発・品質保証部門といった社内組織だけではなく、セキュリティ関連機関やステークホルダーなど社外組織と連携して、脆弱性に対して迅速に対応する必要があります。

PSIRTの活動フロー例

PSIRTとCSIRTとの違い

CSIRT(Computer Security Incident Response Team)とは、企業内で管理しているシステムにセキュリティインシデントが発生した際に、専門的に対応を行う組織のことです。対してPSIRTは、外部に提供しているプロダクトのセキュリティ対策や、それらに関連するインシデントが発生したときの対応を目的としています。
PSIRTの考え方自体は新しいものではありません。しかし、IoT化が進む中でネットワークと接続するさまざまなプロダクトがサイバー攻撃の被害を受けており、セキュリティ対策の強化が重要となった今、PSIRTが注目を集めています。

日立ソリューションズでは、CSIRT構築コンサルティングも提供しています。

日立ソリューションズのPSIRT構築コンサルティング

日立ソリューションズは、PSIRTの活動レベルを4段階に分けて整理し、お客さまのめざすPSIRT構築を支援します。 プロダクト(製品)・サービスに関連するセキュリティインシデントへの対応を誤ると、事業存続にかかわる危険性があります。まずはこの事業リスクに対応するための方針・体制・手順を整備します。また、インシデントが発生した際の影響を低減するために、脆弱性に関連する情報の収集・分析・対応を実施します。
次の段階として、インシデント発生を未然に防止するために、既存の開発プロセスにサイバーセキュリティを考慮した手順を追加するとともに、プロダクトのセキュリティ設計を支援します。さらに必要に応じて、お客さまの業界で求められるセキュリティ規格や法規への対応を支援します。

日立ソリューションズが考えるPSIRTのレベル
日立ソリューションズが考えるPSIRTのレベルと活動ポイント

プロダクトのインシデント対応・脆弱性管理にお悩みの方、PSIRTを自社内に構築したいが何から手をつければよいかわからないという方は、ぜひ、日立ソリューションズにご相談ください。お客さまのご要望に合わせて、コンサルティングします。

自動車業界の製品セキュリティに関する対応支援も可能です。
自動車向け ISO 21434対応コンサルティングをご覧ください。

特長

  • 自動車サイバーセキュリティ法規UN-R155 / R156(WP.29)、国際標準規格IEC 62443への対応、プロダクトや制御システムを対象としたリスクアセスメントなど、これまでのセキュリティコンサルティングの実績で培ってきたノウハウをもとに、お客さまのご要望に合わせたPSIRTの早期立ち上げを効率的に支援します。
  • 企画から廃棄に至るプロダクト開発のライフサイクルにおいて、セキュリティを確保するために必要な手順を既存の開発プロセスに整合させるかたちで策定します。また、プロダクトのセキュリティ設計として、脅威分析・リスクアセスメント、脆弱性診断、ペネトレーションテストなどを支援します。
  • 効率的な脆弱性管理を実現するために、日々発生する多種多様な脅威・脆弱性情報から、お客さまのプロダクトに関係する情報のみを収集、さらに当社独自の分析・見解をご提供します。また、PSIRT活動を支援するITツールを設計・構築します。

提供内容

お客さまのプロダクトに関するセキュリティリスクを軽減するため、インシデント発生時の対応プロセス、ならびにプロダクト開発におけるセキュリティ確保プロセスの整備を行います。

インシデント対応・脆弱性管理プロセス策定

インシデント発生時に、早期対応により影響を抑えるためのプロセスを策定します。自動車業界や製造業での実績をもとに策定した「対応手順書(ひな型)」をお客さまに合わせてカスタマイズして提供することで、確実なプロセスを短期間で適用いただけます。

開発プロセス策定

プロダクトの企画から廃棄に至る開発ライフサイクル全体でセキュリティを確保できるよう、必要なプロセスの策定と開発者向けトレーニングを支援します。脆弱性を残さない、作りこまないことで、インシデントの発生を未然に防止します。

セキュリティ設計・検証・テスト

お客さまのプロダクトを対象としたセキュリティ設計(脅威分析・リスクアセスメントを含む)を支援します。さらに、脆弱性診断・ペネトレーションテストを第三者の観点で実施します。

脆弱性・脅威情報提供

NEW

多種多様なデータソースの脆弱性・脅威情報から、お客さまのプロダクトに関連する情報を選定した定期的なサマリレポートを提供します。また、関連する脆弱性について多角的に分析し、当社独自の見解を付加した詳細レポートを提供します。製品への影響の判断材料として活用いただけ、対応工数を削減できます。
各レポートのサンプルをご用意しておりますので、お気軽にお問い合わせください。

ITツール構築

問い合わせ管理(ヘルプデスク)、ワークフロー・チケット管理、情報共有などPSIRTの活動を支援するITツールについて、設計から構築、運用まで支援します。
ITツールとしてアトラシアン(Atlassian)社製品の問い合わせやチケット管理機能を利用して、インシデント・脆弱性管理を効率的に実現しています。

自動車業界の製品セキュリティをご希望の場合は、
自動車向け ISO 21434対応コンサルティングをご覧ください。

作業期間

サービスの支援形態および適用範囲により、作業期間が異なります。
・PSIRT構築支援:6カ月から

価格

個別見積もり

セキュリティコンサルティング コンテンツ一覧

関連商品・キーワード