製品のセキュリティを確保するにあたり、脆弱性への対処は必須です。
近年、IoT製品やサプライチェーンの弱点を狙ったサイバー攻撃の増加によって製品のセキュリティリスクが増大していることから、
脆弱性の早期把握や確実な是正が企業に求められています。
このような背景を受け、各企業は脆弱性を早期に把握するための仕組みづくりや
脆弱性の対処状況の見える化など、セキュリティガバナンスの強化施策を推進しています。
C さん
今回の悩める相談者は、PSIRT責任者のCさんです。
組織のセキュリティガバナンスを強化するため、まずは脆弱性管理業務にてこ入れをするよう指示されたものの、
何から手をつけていいか分からないようです。
では C さんのお悩みを聞いてみましょう。
セキュリティガバナンスとは、組織全体でサイバーセキュリティリスクを管理するために、リスクに対して適切な対策や意思決定を行う内部統制の仕組みを構築し、運用していくことです。2024年に改訂された米国国立標準技術研究所のNIST CSF2.0 (NIST:National Institute of Standards and Technology、CSF:Cybersecurity Framework)では、機能として “ガバナンス” が追加され、事業戦略に基づく意思決定や優先順位付けをどのように行うかについての指針が示されています。セキュリティガバナンスの強化は、組織全体でトップダウンで推進していくべきことなので、経営層が注目しているのです。ここで脆弱性管理が重要となるのは、製品のセキュリティリスクの低減が組織や事業のセキュリティリスクの低減につながるからです。
ヒガキさん
PSIRTが、自社製品の脆弱性を漏れなく検出したり、プロセスどおりに実施できているか確認したり、脆弱性の検出状況や対処状況を見える化したりするといった仕組みをつくる必要があります。
ヒガキさん
その仕組みをつくるには、どうすればよいのでしょう?
全部自力でやるにはハードルが高そうです。
日立製作所
マネージド&プラットフォームサービス事業部
セキュリティサービス本部 プロダクトセキュリティソリューション部に所属。
ITの安全・安心を支えるセキュリティの番人といわれる国家資格「情報処理安全確保支援士」を所持する。
趣味は、音楽で、ライブやフェスへの参加。また、在宅勤務による運動不足解消をきっかけに始めた早朝のジョギングで、1カ月に合計100km以上走ると決めており、大雨などで走れない日があると、何か落ち着かない。
