Service
PSIRT支援サービス
PSIRT支援サービスは、お客様の製品やサービスにおける脆弱性やセキュリティインシデント、構成管理情報の一元管理を行うPSIRTの体制構築および運用をご支援するサービスです。またISO/SAE 21434のSIRT要求を満たす管理システムもご提供しております。
導入メリット
- POINT1 自社製品の脆弱性を確認した際に、「脆弱性への適切な対応」と「ステークホルダーへの迅速な報告」を行う企業としてマーケットに認知され、企業価値の向上を図ることができます。
- POINT2 複数の製品と多様な脆弱性情報を「一元管理」し、組織・製品・脆弱性単位に「対応ステータスの見える化」をすることで、脆弱性に対するガバナンスの強化を図ることができます。
- POINT3 「脆弱性情報の自動収集」を行い、認識漏れを防ぐことができます。また、業務プロセスのシステム化により、検査精度品質の維持と製品の品質向上を図ることができます。
PSIRTとは
PSIRTとは、Product Security Incident Response Team の略で、自社で製造・販売した製品やサービスのセキュリティに関わるリスクマネジメントやインシデント発生時の対応を行う組織です。
MaaS、IoTなど、製品のIT化が加速する中、ユーザーの安全・安心を守り、自社の製品の価値を向上させることを目的に、品質マネジメントにおける重要な組織として注目されています。類似の組織として、CSIRTが挙げられますが、CSIRTが自社の組織の保護を目的としているのに対して、PSIRTでは外部に提供する自社の製品やサービスの保護を目的にしている点が大きな違いです。
PSIRTとCSIRTの違いとは?
| PSIRT | CSIRT | |
|---|---|---|
| 保護対象 | ユーザーに提供する自社製品・サービス | 自社内のIT環境 |
| 対応の難易度 | ステークホルダーや保護対象製品・サービスが自社内外に広く存在するので、対応の難易度は高い。 | 対処の必要な保護対象物が自社の管理範囲内にあることが多く、PSIRTと比較すると難易度は低い。 |
| 運営主体 | 製品開発部門・品質管理部門 | 情報システム部門・コーポレート管理部門 |
ベリサーブの提供するPSIRT支援サービス
お客様の製品やサービスの品質向上を目的に、当社が培ってきたソフトウェアテストやセキュリティ検証に関わるノウハウとソリューションを活用し、プロジェクトの最上流から運用フェーズまで一貫したご支援をいたします。
プロセス改善
- お客様の現行業務や課題を分析した上で、PSIRT運用プロセスの改善施策をご提示いたします。
運用プロセスは「PSIRT Services Framework」を、その他セキュリティ要件はISO/SAE 21434 などをもとにご提案をいたします。 - 実現可能性を考慮しながら、適用範囲や必要な機能の整理を行い、構築フェーズの計画を策定いたします。
環境構築
- 改善施策をもとに、PSIRTのプロセスを管理するための「PSIRT支援システム」を構築します。
運用支援
- 構築したPSIRTがルールに則って運用されているか、定期的な評価を行い、改善事項の提言をいたします。
- 発生したインシデントの原因や検知された脆弱性を分析し、継続的なセキュリティ対策の最適化をご支援いたします。
PSIRT支援システムのご紹介
PSRIT支援システムは、製品のセキュリティインシデントに関する情報を集約、共有するための管理システムです。
- 年間サブスクリプションで提供
- SaaS、オンプレミスを選択可能
| 機能名 | 概要 | |
|---|---|---|
| メイン機能 | 脆弱性情報一括インポート | NVD※の情報を登録・更新します。その他、有料の脆弱性情報や指定メーカーの情報など、 任意の情報をシステムに取り込むことが可能です。 |
| 製品/構成情報にインシデント情報を紐づけ | 登録した製品または構成情報に該当するインシデントの紐づけを行います。 | |
| インシデントに製品/構成情報を紐づけ | インシデントに対して製品または構成情報の紐づけを行います。 | |
| 他ツールプロジェクトインポート | 他ツールでスキャンして作成された構成情報をシステムに取り込みます。 一部ツールでは脆弱性・不具合情報も同時に取り込むことが可能です。 |
|
| 対応状況確認 | 登録されたインシデント情報を確認し、システムから担当者に対応指示などのメール送信をすることが可能です。 | |
| 対応状況入力 | インシデントに対するステークホルダーが、対応状況を入力する機能です。 管理者から担当者へのメールには入力画面のURLが記載されます。 |
|
| 管理機能 | プロジェクト別対応状況 | 登録されたインシデントの対応状況を、プロジェクト別・製品別・インシデント別にリアルタイムに確認することができます。 必要に応じてリマインドメールを送信することが可能です。 |
| コンポーネント別対応状況 | ||
| 脆弱性別対応状況 | ||
| 検索 | システムに登録されている全データを対象に全文検索することが可能です。 | |
| その他 | テーブルメンテナンス | 脆弱性情報や製品情報・プロジェクト情報などのデータベース情報を管理者はメンテナンスすることが可能です。 |
※脆弱性情報データベース(National Vulnerability Database)
掲載されている製品名、会社名、サービス名、ロゴマークなどはすべて各社の商標または登録商標です。