PSIRT構築のStep by Stepガイド

PSIRT構築のStep by Stepガイド 2025年4月18日 フューチャー株式会社 Cyber Security Innovation Group TLP:CLEAR Copyright © 2025 by Future Corporation Confidential

自己紹介 中川 盛之 Moriyuki Nakagawa 2009 2013 2017 2021 2023 キャリアスタート SE セキュリティコンサル ビジネスコンサル SIer ユーザー企業 コンサル コンサル フューチャー  自己紹介 金融機関システムの保守・運用からキャリアをスタート セキュリティについてはリスクアセスメント、セキュリティ組織構築、セキュリティ監査などガバナンス系を中心に経験 ビジネスコンサルとしては小売向け適正在庫管/需要予測、医療向け機器UI設計の支援等を経験 趣味はジョギング、温泉地巡り TLP:AMBER Copyright © 2025 by Future Corporation -2- Confidential

本日のアジェンダ Step1. PSIRTの方針整理 ① PSIRTとは? ② PSIRTの組織構造 ③ PSIRTの役割 ④ 主な課題と構築要素 Step3. PSIRTの構築 ⑧ PSIRT構築の考え方 ⑨ PSIRT構築事例 Step2. PSIRTを取り巻く環境の把握 ⑤ 攻撃者の視点 ⑥ Attack Tree ⑦ ソフトウェアの安全性評価 TLP:CLEAR Copyright © 2025 by Future Corporation -3- Confidential

Step1 PSIRTの方針整理 TLP:CLEAR Copyright © 2025 by Future Corporation Confidential

ポイント 基礎知識を理解する PSIRTとは?  PSIRTとは、Product Security Incident Response Teamの略称で、製品やサービスのセキュリティ脅威や欠陥に 対応することに重点を置き、インシデントに関する調査、分析・評価、対応を行う組織とされています  PSIRTの主な役割としては、FIRST※のPSIRT Maturity Documentでは「PSIRTの中核となるのは、脆弱性レポートを 受け取り、ある程度のレビューと分析を行い、適切な関係者と協力してセキュリティアップデートを作成し、最終的にはそれらの アップデートを組織の顧客やパートナーに提供すること」とされています  PSIRTを語る上でのキーワードは、脆弱性の情報収集、分析・評価、情報開示といった「脆弱性管理」です 脅威の把握 脅威 PSIRT 脆弱性の管理 製品・サービス 欠陥 ※FIRST:セキュリティインシデント対応チームの国際的な非営利団体 TLP:CLEAR Copyright © 2025 by Future Corporation -5- Confidential

ポイント 基礎知識を理解する PSIRTの組織構造  PSIRTの組織構造としてはPSIRT Service Frameworkでは分散/集中/ハイブリッドの3つのモデルが定義されており、 この3つの内いずれかのモデルに当てはまるとされています  組織構造の主なポイントは、内製の度合い/専門スキルメンバーの確保/経営層の協力獲得です 集中モデル 分散モデル ハイブリッドモデル 製品開発 開発者 ・・・ 開発者 製品サポート PSIRT サポート ・・・ サポート PSIRT PSIRT メンバ PSIRT メンバ ・・・ 販売 製品開発 開発者 開発者 製品サポート PSIRT メンバ サポート PSIRT メンバ 製品管理 製品管理 調達 製品開発 PSIRT メンバ PSIRT メンバ 調達 PSIRT PSIRT メンバ PSIRT メンバ PSIRT メンバ PSIRT メンバ 製品サポート サポート PSIRT メンバ 製品管理 調達 PSIRT メンバ ※PSIRT Service Framework Ver1.1をもとにフューチャーにて作成 TLP:CLEAR Copyright © 2025 by Future Corporation -6- Confidential

ポイント 役割の考え方 PSIRTの役割  PSIRTの主な役割をITILの4Pの観点で運用定義すると、3つの領域でサービスを考えやすい  ステークホルダーとの関係性の構築、製品・サービスに発生したインデントへの対応、製品・サービスへの予防的なセキュリティ 対策、脆弱性性情報の収集と管理等のサービスエリアを4PとQCDで捉える Product 脆弱性トリアージ・ 対策/対応 PSIRT Process ステークホルダー管理・ トレーニング 脆弱性の発見・脆弱性の開示 Partner トリガとクロージング TLP:GREEN Copyright © 2025 by Future Corporation -7- Confidential

ポイント 構築の要素を把握する 主な課題と構築要素  PSIRTがこれから立ち向かうことになる主な課題から、対策を検討することで構築に必要な要素を整理しやすい 主な課題 対策 １ 製品に影響のある脆弱性のトリアージ・分析の判断 CVSS,EPSS,SSVC等を活用 した脆弱性のスコアリングと 優先度付け判断基準の定義 管理対象となる製品構成情報の把握 SBOM,VEX等を活用した ソフトウェア構成要素の把握 脆弱性公開による悪用、障害を引き起こすリスクを考慮した開示 IPA,JPCERT/CC等の 外部連携を含むVDPの導入 ２ ３ TLP:GREEN Copyright © 2025 by Future Corporation -8- Confidential

Step2 PSIRTを取り巻く環境の把握 TLP:CLEAR Copyright © 2025 by Future Corporation Confidential

ポイント 脅威を理解する 攻撃者の視点  攻撃者の視点を知る有効な手段として、サプライチェーン攻撃における脅威モデリングや、フレームワーク活用が考えられます  脅威分析フレームワークとしては、MITRE ATT＆CKが有名ですが、より具体的な攻撃パターンに焦点を当てる場合には、 MITRE社が管理・公開している既知のサイバー攻撃の手口やパターンをとりまとめたCAPEC（Common Attack Pattern Enumeration and Classification）も参考になります 脆弱性（CWE）が、どのような攻撃 パターンによって悪用される可能性が あるか具体的に示されている  CAPEC（サプライチェーンのカテゴリー）  一般的な脅威分析（STRIDE分析） 出典:CAPEC (https://capec.mitre.org/data/definitions/437.html) 経済産業省「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」をもとにフューチャー作成 Copyright © 2025 by Future Corporation - 10 - TLP:AMBER Confidential

ポイント 攻撃者の考え方にせまる Attack Tree  Attack Treeは木構造で表現され、分析対象の脅威についての攻撃手段を可視化していくのに用います  攻撃者の視点で洗い出した脅威自体は抽象度が高いですが、Attack Tree を作成することで、脅威を実現させうる具体的 な攻撃手法を洗い出すことができます 全ての脅威に対してAttack Treeを作成することが目的ではなく、 本当に重要な脅威に対して深堀して評価する  イメージ図 ルートノード 脅威 攻撃者の視点で洗い出した脅威 AND 親ノード 攻撃手段1 攻撃手段2 脅威を実現させるための攻撃手段 OR 子ノード 攻撃手段3 攻撃手段4 親の攻撃手段を実現させるための攻撃手段  考え方 脅威、親の攻撃手段を実現させるために枝分かれした攻撃手段が、必須の場合”AND”、いずれか一方でよい場合”OR”を 枝分かれ箇所に明示していく Copyright © 2025 by Future Corporation - 11 - TLP:AMBER Confidential

ポイント 弱点を見つけ出す ソフトウェアの安全性評価  ソフトウェアのセキュリティ成熟度を把握し、セキュリティ対策の現状評価と改善するための弱点を見つけ出すことも重要です  ソフトウエア保証成熟度モデルやGoogle ASMLは、ビジネス機能とセキュリティ対策組織が内部での評価に利用、サプライヤ のソフトウェアプログラムの成熟度を把握し、ソフトウエアセキュリティ対策のための戦略の策定・実施を支援するフレームワークと して公開されている  OWASP SAMM（Software Assurance Maturity Models）  Google ASML（Application Security Maturity Levels） 出典:OWASP SAMM v2モデル (https://owasp.org/www-project-samm/) 出典:Google ASML (https://github.com/google/asml) OWASPのオープンフレームワークで、コミュニティ主導の取り組み。ビジネスリ スクに合わせた段階的なセキュリティ対策をリストアップするのに役立つ Googleが内部で利用しているアプリケーションセキュリティの成熟度フレーム ワークで、自社のアプリケーションセキュリティ対策の現状を評価し、改善する ための指標にできる TLP:AMBER Copyright © 2025 by Future Corporation - 12 - Confidential

Step3 PSIRTの構築 TLP:CLEAR Copyright © 2025 by Future Corporation Confidential

ポイント PSIRTの始め方 PSIRT構築の考え方  構想段階ではPSIRTの運用基盤が重要です。すでにセキュリティ運用方針やルールがある場合にはPSIRTサービスエリアと 体制・役割に基づき、実施必須のセキュリティ運用を検討することでスピード感ある立ち上げになると考えられます 考え方 キーワード No.1 構想 規格やガイドラインに基づき、PSIRTの基礎となる組織構造、 PSIRTの対象とする製品・サービス、活動目的の構想を練る 運用基盤と組織構造 No.2 運用方針 PSIRTの役割や構成要素を考えて、運用方針を立てる 4PとQCD No.3 サービスメニュー PSIRTのサービスエリアごとに検討した運用方針をマッピングして サービスメニューを検討する PSIRTの主な課題への対策 No.4 体制・運用フロー PSIRT立ち上げ段階で必要な体制、運用する上で必要な流れを フローに整理する 運用内容とサービスエリア No.5 評価・改善 PSIRTの活動について計画を立て、振り返りのポイントを必ず設ける PSIRTの活動を振り返り、成熟度を上げていく 組織活動を評価するための指標 TLP:AMBER Copyright © 2025 by Future Corporation - 14 - Confidential

ポイント セキュリティ運用を考える PSIRT構築事例 – 構想  ソフトウェア部品表であるSBOMは、 SaMDなどの医療機器において必須要件として求められています  市場投入までの構想を練り、運用基盤や組織構造を考える必要があります  PSIRT構築構想の事例 TLP:RED Copyright © 2025 by Future Corporation - 15 - Confidential

ポイント 現状のセキュリティ運用 PSIRT構築事例 – セキュリティ運用方針  検討したセキュリティ運用方針（カテゴリ）と、PSIRTサービスエリア（対応領域）の整合性を考えて PSIRTサービスエリアの成熟度レベル1※サービスをマッピング ※PSIRT Maturity Document（https://www.first.org/standards/frameworks/PSIRTs/FIRST_PSIRT_Maturity_Document_ja.pdf）参照 Copyright © 2025 by Future Corporation - 16 - TLP:RED Confidential

ポイント どんなサービスメニューにするか PSIRT構築事例 – サービスメニュー  PSIRTのセキュリティ運用内容を体制とともに、具体的に検討していく必要がある  PSIRTの成熟度レベルを段階的に上げていき、セキュリティ運用内容も拡充していく  セキュリティ運用内容（サンプル） № PSIRTサービス セキュリティ運用方針 サービスエリア 機能 内容 カテゴリ 内容 1 サービスエリア2 脆弱性の発見 脆弱性報告の受付 必要な組織構造の設置と維持、コンタクトポ イントの定義と宣伝、報告を受けられる体制 を定義し維持する セキュリティ運用体制・ 情報共有 医療機器に関する情報共有やインシデント発生時の連携のため、医療機 器の製造販売事業者へフィードバックおよび情報共有できる体制を整備する 2 サービスエリア3 脆弱性情報の トリアージと分析 脆弱性情報の認定 対処したい問題の種類と範囲について、適 切な認定基準を定義する 脆弱性管理・構成管理 取得した脆弱性の評価について手法を確立する 3 サービスエリア3 脆弱性情報の トリアージと分析 脆弱性情報トリアージ セキュリティベースラインを設定し、脆弱性の 報告を効果的にトリアージする 情報収集・リスク分析 医療機器に関する情報共有やインシデント発生時の連携のため、医療機 器の製造販売事業者へフィードバックおよび情報共有できる体制を整備する 4 サービスエリア3 脆弱性情報の トリアージと分析 脆弱性情報分析 どの製品が影響を受けているか、および脆弱 性の他のバリエーションが存在するかどうかを 判断する 脆弱性管理・構成管理 取得した脆弱性情報を評価し、医療機器に大きく影響を及ぼす場合、医 療機器の利用者へセキュリティアドバイスとともに緩和策および補完的な対 策を開示する 5 サービスエリア4 対策 脆弱性への対応 テストと展開を計画できるスケジュールで、パッ チやプログラム修正のプロセスを確立する ソフトウェアアップデート ／脆弱性管理・構成管理 脆弱性に対応するパッチ及びその他緩和策について、確認および検証の 上、定めた期間内に速やかに実施する 6 サービスエリア5 脆弱性情報の開示 脆弱性情報の開示 ステークホルダと情報を共有し、情報開示プ ランを相談するための透明性の高い協力的 な環境を整え、脆弱性を円滑に開示する セキュリティ運用体制・ 情報共有 脆弱性情報やその他セキュリティ関連情報を取得し、必要に応じて外部機 関と共有できる状態にする ・ ・ ・ ・ Copyright © 2025 by Future Corporation - 17 - TLP:RED Confidential

PSIRT構築事例 – 体制・運用フロー（PSIRT成熟度レベル1） 体制図 【凡例】 脆弱性の発見 脆弱性のトリアージと分析 対策 脆弱性情報の開示 脆弱性情報の認定 脆弱性への対応 脆弱性情報の開示 運用リーダー 保守担当 情報開示担当 脆弱性報告の受付 脆弱性情報トリアージ 脆弱性情報分析 窓口担当 運用担当 運用担当 利用者 ××部門 ●●部門 運用・保守 担当者 役割 ××部門 脆弱性報告の受付 必要な組織構造の設置と維持、コンタクトポイントの定義と宣伝、報告を受けられる体制を定義し維持する 脆弱性情報の開示 ステークホルダと情報を共有し、情報開示プランを相談するための透明性の高い協力的な環境を整え、脆弱性を円滑に開示する ●●部門 脆弱性情報の認定 対処したい問題の種類と範囲について、適切な認定基準を定義し、対応すべき脆弱性を認定する 脆弱性情報トリアージ セキュリティベースラインを設定し、脆弱性情報を効果的にトリアージする 脆弱性情報分析 どういった影響を受けているか、および脆弱性の他のバリエーションが存在するかどうかを判断する 脆弱性への対応 テストと展開を計画できるスケジュールで、プログラム修正のプロセスを確立し、脆弱性を解消する TLP:RED Copyright © 2025 by Future Corporation - 18 - Confidential

PSIRT構築事例 – 体制・運用フロー（PSIRT成熟度レベル1）  PSIRTレベル1 セキュリティ運用イメージ ※色付け箇所はFutureVulsにより効率化可能 脆弱性の発見 脆弱性のトリアージと分析 対策 脆弱性情報の開示 外部報告 利用者 1 2 運用 フロー 内部報告 運用・保守 担当者 脆弱性報告の受付 3 脆弱性情報 トリアージ 脆弱性情報の認定 4 実施 内容 脆弱性報告の受付 ① 外部の利用者、内部の運用・保守担当者 からの脆弱性関連の報告を受付ける ② 受付けた脆弱性関連の報告内容を脆弱 性情報のトリアージ担当者に連携する 脆弱性情報分析 6 脆弱性への対応 7 脆弱性情報の開示 5 脆弱性情報トリアージ 脆弱性への対応 ③ セキュリティベースラインを設定し、報告内容が関係する ⑥ 脆弱性情報の連携を 脆弱性情報であるのか判断し、脆弱性である可能性が 受け、テストと展開を計 高い場合、脆弱性情報の認定担当に連携する 画できるスケジュール 脆弱性情報分析 で、プログラムを修正、 ④ 関連する脆弱性と判断した場合、脆弱性情報の影響 脆弱性を解消する 範囲・影響の大きさを評価する 脆弱性情報の認定 ⑤ 報告内容の脆弱性の関連性と、脆弱性の影響範囲・ 影響の大きさから脆弱性として認定する 脆弱性情報の開示 ⑦ ステークホルダと情報を 共有し、情報開示プラ ンを相談するための透 明性の高い協力的な 環境を整え、脆弱性を 円滑に開示する ※PSIRT Maturity Document（https://www.first.org/standards/frameworks/PSIRTs/FIRST_PSIRT_Maturity_Document_ja.pdf）をもとにフューチャーにて作成 TLP:RED Copyright © 2025 by Future Corporation - 19 - Confidential

PSIRT構築事例 – 体制・運用フロー（PSIRT成熟度レベル2） 体制図 脆弱性の発見 利用者 脆弱性のトリアージと分析 対策 脆弱性の開示 脆弱性報告の受付、発見者との関係構築 脆弱性の認定 セキュリティ対策 マネジメント計画 脆弱性情報の開示、 脆弱性の通知 窓口担当 運用リーダー 保守リーダー 開示・通知担当 運用・保守 担当者 報告されていない 脆弱性の特定 脆弱性情報トリアージ 脆弱性情報分析、 脆弱性の再現 脆弱性への対応 脆弱性の評価指標 運用担当 運用担当 運用担当 保守担当 評価担当 【凡例】 ××部門 ●●部門 ステークホルダー・エコシステム・マネジメント PSIRT全体 教育と訓練 PSIRT全体 役割 ××部門 脆弱性報告の受付 必要な組織構造の設置と維持、コンタクトポイントの定義と宣伝、報告を受けられる体制を定義し維持する 発見者との関係構築 信頼性の高い脆弱性の発見者と良好な関係を築き、脆弱性情報トリアージ等の分析をサポートする 脆弱性情報の開示 ステークホルダと情報を共有し、情報開示プランを相談するための透明性の高い協力的な環境を整え、脆弱性を円滑に開示する 脆弱性の通知 ステークホルダやベンダに正しい対策内容が伝わるように通知対象を定めて通知する 脆弱性の評価指標 経営層への報告のために案件数、修正時間、影響範囲等を収集内容を決める ●●部門 報告されていない脆弱性の特定 脆弱性情報トリアージ 公開されている攻撃情報データベースや有料のフィードを監視し、調査が必要なゼロデイとなりうる脆弱性情報発見等の活動をする セキュリティベースラインを設定し、脆弱性情報を効果的にトリアージする 脆弱性情報分析 どういった影響を受けているか、および脆弱性の他のバリエーションが存在するかどうかを判断する 脆弱性の再現 効率的、安全でセキュアな環境で、脆弱性の報告内容を検証/再現する 脆弱性情報の認定 セキュリティ対策マネジメント計画 脆弱性への対応 Copyright © 2025 by Future Corporation 対処したい問題の種類と範囲について、適切な認定基準を定義し、対応すべき脆弱性を認定する セキュリティ修正プログラムの展開、サポート対象の製品展開を事前に計画する テストと展開を計画できるスケジュールで、プログラム修正のプロセスを確立し、脆弱性を解消する - 20 - TLP:RED Confidential

PSIRT構築事例 – 体制・運用フロー（PSIRT成熟度レベル2）  PSIRTレベル2 セキュリティ運用イメージ ※色付け箇所はFutureVulsにより効率化可能 脆弱性の発見 外部報告 利用者 運用 フロー 2 1 内部報告 運用・保守 担当者 脆弱性のトリアージと分析 ステークホルダー・エコシステム・マネジメント 教育と訓練 脆弱性報告の受付 報告されていない 脆弱性の特定 3 4 対策 5 発見者との 関係構築 脆弱性情報 トリアージ 12 脆弱性の再現 6 8 脆弱性情報の認定 9 脆弱性への対応 セキュリティ対策 マネジメント計画 ステークホルダー管理、コミュニケーション調整 実施 内容 発見社との関係構築 ⑤ 脆弱性を報告する信頼性の高い発見者と良好な関係を築き、脆弱性情 報トリアージ等の分析をサポートする 脆弱性の再現 ⑥ 効率的、安全でセキュアな環境で、脆弱性の報告内容を検証/再現する 脆弱性情報トリアージ ⑦ セキュリティベースラインを設定し、報告内容が関係する脆弱性情報である のか判断し、脆弱性である可能性が高い場合、脆弱性情報の認定担当 に連携する 脆弱性情報分析 ⑧ 関連する脆弱性と判断した場合、脆弱性情報の影響範囲・影響の大き さを評価する 脆弱性情報の認定 ⑨ 報告内容の脆弱性の関連性と、脆弱性の影響範囲・影響の大きさから 脆弱性として認定する 13 脆弱性の通知 11 14 脆弱性の評価指標 15 16 PSIRTのトレー二ング(振り返り)、フィードバック機能の提供(ナレッジ共有) 脆弱性報告の受付 ① 外部の利用者、内部の運用・保守担当者からの脆弱性 関連の報告を受付ける ② トリアージプロセスの効率を向上させ、質の高いレポートの 提出実績を持つ発見者との良好な関係を構築する ③ 受付けた脆弱性関連の報告内容を脆弱性情報のトリ アージ担当者に連携する 報告されていない脆弱性の特定 ④ 公開されている攻撃情報データベースや有料のフィードを 監視し、調査が必要な脆弱性情報発見等の活動をする 脆弱性情報の開示 10 7 脆弱性情報分析 脆弱性情報の開示 脆弱性への対応 ⑩ 脆弱性情報の連携を受け、テ ストと展開を計画できるスケ ジュールで、プログラムを修正、 脆弱性を解消する セキュリティ対策マネジメント計画 ⑪ セキュリティ修正プログラムの展 開、サポート対象の製品展開 を事前に計画する 脆弱性情報の開示 ⑫ ステークホルダと情報を共有し、 情報開示プランを相談するため の透明性の高い協力的な環 境を整え、脆弱性を円滑に開 示する 脆弱性情報の通知 ⑬ ステークホルダやベンダに正しい 対策内容が伝わるように通知 対象を定めて通知する 脆弱性の評価指標 ⑭ 経営層への報告のために案件 数、修正時間、影響範囲等を 収集内容を決める ステークホルダー管理、コミュニケーション調整 ⑮ 誰と協力して脆弱性を確認するのか、インシデントが起きた時のステークホルダーは誰を招集するのか対応するのかを把握できる状態にする。そのためのプロセスと手段を定義する。 PSIRTのトレーニング(振り返り)、フィードバック機能の提供(ナレッジ共有) ⑯ PSIRTの内で他のメンバーと活動を振り返り、学んだことや研修で得た知識を共有できる状態にする。そのためのプロセスと手段を定義する。 ※PSIRT Maturity Document（https://www.first.org/standards/frameworks/PSIRTs/FIRST_PSIRT_Maturity_Document_ja.pdf）をもとにフューチャーにて作成 TLP:RED Copyright © 2025 by Future Corporation - 21 - Confidential

まとめ 最後に TLP:CLEAR Copyright © 2025 by Future Corporation - 22 - Confidential