活動報告

2020.03.12 「PSIRT成熟度評価シート」を公開しました。

Software ISAC PSIRT推進WGでは、「PSIRT Maturity Document」をもとに、各組織の製品セキュリティ・インシデント対応チーム (PSIRT) の成熟度を評価するためのシート「PSIRT成熟度評価シート」を作成しました。 プログラム開発事業やソフトウェア販売等に関わる企業において、製品の脆弱性管理は重要な課題となってきました。この「PSIRT成熟度評価シート」は、自社開発製品または自社販売製品に関する脆弱性管理を課題として扱い始めた組織、または製品セキュリティ・インシデント対応チーム(PSIRT)の設立を進めている組織、もしくは PSIRT業務の品質の向上を目的に、現状の評価や課題の洗い出し、また組織の PSIRT業務の成熟度を取引企業に公開し、信頼を獲得するための材料として利用いただきたいものです。 ■利用の仕方 PSIRT成熟度評価シートの各項目の内容を確認いただき、達成できている項目については「○」を入力してください。 レベル1の項目すべてに「○」が付けば、PSIRTの成熟度は「レベル2」と判定されます。 また同様にレベル1およびレベル2の項目すべてに「○」が付けば「レベル3」と判定されます。 低いレベルの項目に○が付くよう行動計画を立てることで、PSIRTの成熟度が上がっていきます。 評価後に、エクセルシートを PDF で書き出ししていただくことで、外部に公開可能なPSIRT成熟度評価シートを作成することができます。

2019.11.01 CEATEC2019コンファレンス実施報告

2019年10月17日(木)、幕張メッセにて、IoT時代におけるセキュリティ対策をテーマにコンファレンスを企画・実施しました。

タイトル:IoT時代の攻撃と防御、PSIRTの重要性が問われるいま! IoT時代のゼロデイ攻撃と防御 受け入れ必至 “Zero Trust” とは

株式会社ラック サイバー・グリッド・ジャパン サイバー・グリッド研究所所長 仲上 竜太 氏から、IoT時代に直面するゼロデイ攻撃とその防御、そして新しいセキュリティパラダイムであるゼロトラストとは。サプライチェーン・リスクに端を発するSociety5.0時代の情報資産の守り方について紹介を頂きました。

タイトル: IoT時代の攻撃と防御、PSIRTの重要性が問われるいま! IoT時代に必要なPSIRTとその役割

グローバルセキュリティエキスパート株式会社 CSO 兼 CSRO 萩原 健太氏から、進化する攻撃や複雑化する製品・サービスにおいて、企業規模に関わらず、コンポーネントの管理は重要度が増している中、昨今のソフトウェア管理に関する国内外の動向や求められる対応までを解説頂きました。

タイトル: IoT時代の攻撃と防御、PSIRTの重要性が問われるいま! IoT時代におけるセキュリティ対応態勢のありかた - シフトレフトする攻撃に生き残れ!-

開発の上流工程にマルウェアを送り込む悪意ある攻撃が試みられていますが、こうした「攻撃のシフトレフト」に対抗するため、自社製品やサービス提供におけるインシデントに対応する「PSIRT(Product Security Incident Response Team)」に注目が集まっています。第一線のPSIRT/CSIRT担当者とコンサルタントがインシデントに強い実践的PSIRTについてパネルディスカッションを行いました。
ファシリテーター: 板東 直樹 氏(アップデートテクノロジー株式会社 代表取締役社長)
パネリスト:明尾 洋一 氏(サイボウズ株式会社 セキュリティ室 室長)
パネリスト:垣内 由梨香 氏(マイクロソフトコーポレーション カスタマーサービスアンドサポート セキュリティレスポンスチーム セキュリティプログラムマネージャー)
パネリスト:加藤 智巳 氏(株式会社ラック サイバー・グリッド・ジャパン理事, シニアコンサルタント)


2019.04.15 ISAC連携シンポジウムでの登壇

サイバーセキュリティ協議会国際シンポジウムにて、Software ISAC代表の萩原氏が登壇しました。

PSIRT Service Framework翻訳紹介

Software ISAC(リーダー:萩原健太、トレンドマイクロ株式会社)に参画する、サイボウズ株式会社、トレンドマイクロ株式会社そして本作業の協力や調整支援を頂いた一般社団法人JPCERTコーディネーションセンターの3組織で実施した「PSIRT Services Framework 1.0 Draft」の日本語翻訳文書を公開しました。

概要

IoTの浸透により社会の在り方が急速に変化しています。それと同時にIoT機器やソフトウェアの脆弱性を突いたセキュリティ事故も発生するようになりました。IoT機器やソフトウェアの開発ベンダーは、製品・サービスの修正や改善をこれまで以上の頻度、速度で行う必要性があり、対応組織の設置・強化が望まれています。
「Product Security Incident Response/Readiness Team(PSIRT)」とは、各組織で提供している製品やサービスに係る脆弱性対応やインシデント対応、また品質管理や向上を目的とした組織で、国内でも徐々に設置が進んでいますが、その構築や運用のノウハウは国内にはまだまだ多くありません。
「PSIRT Services Framework 1.0 Draft」は、FIRST(Forum of Incident Response and Security Teams※1)が提供するフレームワークで、PSIRTを構築する方法や必要な機能・資源をはじめ、運用に係る情報などが記載されています。そこで、国内の健全なPSIRT設立と発展のために、「PSIRT Services Framework 1.0 Draft」の翻訳を実施し、FIRSTにて公開がなされました。なお、更新が行われた最新版のPSIRT Services Frameworkについても、3組織で継続して作業を進めており、今冬の公開を目指して活動しています。
※1 FIRSTは世界中のコンピュータセキュリティインシデントに対応する企業・組織の国際連合でインシデント防止を推進する最も権威ある組織です。メンバーには、Apple、AT&T、エアバス、BMW、Cisco、GE、Microsoft、ロッキードマーチンなどの世界中の大手企業が参加しており、わが国では東京電力、中部電力、三菱UFJファイナンシャルグループ、パナソニック、ソニー、日立など33社がメンバーとして活躍しています。

〇「PSIRT Services Framework 1.0 Draft」の日本語翻訳文書公開について

〇FIRSTホームページ「PSIRT Services Framework 1.0 Draft」日本語訳
https://first.org/education/service-framework
https://first.org/education/FIRST_PSIRT_Services_Framework_v1.0_draft_ja.pdf

翻訳者

一般社団法人 JPCERT コーディネーションセンター
内山貴之、堅木雅宣、佐藤祐輔、戸田洋三、福本郁哉
サイボウズ株式会社
明尾洋一、伊藤彰嗣
トレンドマイクロ株式会社
萩原健太

© SoftwareISAC 2020