デジタル製品のセキュリティーがビジネスの必須条件に
まもなく発効されるサイバーレジリエンス法。その対象は既存のEU規制で定められている医療機器や航空、自動車などを除く「デジタル要素を備えたすべての製品」だ。ここには直接ネットワークに接続しないデジタル製品も含まれる。
対象のデジタル製品は、リスク評価に基づいたサイバーセキュリティー対策の実装が義務付けられる。
メーカーはSBOM(Software Bill of Materials:ソフトウエア部品表)に加え、実施した対策の適合性評価の証明書も提供しなければならない。製品の中に脆弱性が検知されたら、速やかに情報を公開し、セキュリティー更新プログラムを配布する。インシデント発生時および脆弱性発見時の報告義務もあるため、その体制やプロセスの整備も欠かせない。
メーカー側の負担は小さくないが、「義務化されたのだから、仕方ない」という後ろ向きな姿勢では、市場の変化を見誤ってしまう。法規制を後押ししているのは市場のニーズであり、顧客が求めているのは、製品の安全・安心と信頼である。
「例えば、EUでビジネスをしないからといって脆弱性のある製品をそのまま提供し続けているような企業は、すぐに市場から選ばれなくなるでしょう。『規制の対象でなくてよかった』で済まさず、リスクがあれば、その穴を埋めるスキームを整える。お客様に安全・安心な製品を提供し続けることが企業の社会的使命になりつつあるのです」と日立ソリューションズの小俣 信司氏は指摘する。
株式会社日立ソリューションズ
セキュリティプロダクト第3部
第2グループ
グループマネージャ
小俣 信司氏
対策の策定、実装、運用定着までフルサポート
グローバルでビジネスを展開する企業にとって、サイバーレジリエンス法への対応は避けて通れないが、現状は課題も多いだろう。「サイバーレジリエンス法には、要件を満たすための実装方法が具体的に記載されないため、何をどこまで対応すれば準拠しているといえるか判断に悩むところです」と日立ソリューションズの斉藤 晃一氏は述べる。
株式会社日立ソリューションズ
セキュリティコンサルティング部
PSIRTコンサルティンググループ
セキュリティコンサルタント
斉藤 晃一氏
対応の必要性は理解していても、何から手を付けたらいいのかが分からない。これが企業側の本音ではないだろうか。こうしたニーズに対応するため、日立ソリューションズが提供しているのが「サイバーレジリエンス法対応支援コンサルティング」だ。
このサービスはIEC 62443(International Electrotechnical Commission:制御システムのセキュリティーに関する国際基準)などを参考に、サイバーレジリエンス法の要件を顧客企業の「製品」と「組織」にどう取り組めばいいか、どのような脆弱性管理プロセスを構築すればいいかなどセキュリティー要件の定義から実装、運用まで伴走支援する(図1)。
図1 サイバーレジリエンス法対応支援コンサルティングの概要
サイバーレジリエンス法の要件を組織や製品にどのように取り込めばいいか、要件定義から実装、対策まで支援する
「製品開発については、開発段階からセキュリティー・バイ・デザインの考えに基づき、お客様の製品とセキュリティー特性要件とのギャップを分析。お客様と共に具体的にどのような対策が必要かを考え、その実装をサポートします」と斉藤氏は説明する。
また、製品開発時・リリース後の脆弱性管理のための体制やプロセスの構築を支援する。「SBOMや脆弱性開示ポリシーの作成、セキュリティー更新プログラムの適用方法などについても一緒に考えていきます」と斉藤氏は続ける。
これらの運用を手作業で行うのは現実的ではないため、ツールの活用が欠かせないが、最適なツールの選定や導入のサポートも支援する。その上で、長年にわたりPSIRT(Product Security Incident Response Team:開発または販売しているプロダクトにて発見された脆弱性への対応や、脆弱性を要因とするセキュリティーインシデント発生時の対応を行う組織またはその活動)構築支援で培った経験をもとに、「誰が・何を担当するか」「プロセスフローをどうするか」などを決めていく。「サイバーレジリエンス法の脆弱性管理について、要件を満たすよう準備します」と斉藤氏は語る。
サイバーレジリエンス法対応支援コンサルティングは「現状把握・計画立案」「プロセス構築・対策」「試行・運用」というステップで1年から2年ほどかけて進めていく。法案の実施を見据え、日立ソリューションズのサポートのもと、既に対応を始めている企業もあるという。
国内、諸外国の動向を見据えた対応も支援
デジタル製品に対する法規制は、サイバーレジリエンス法だけに限らない。米国や英国、日本、アジア各国でも様々な法規制が検討されている。例えば、米国では2021年5月にサイバーセキュリティー向上に関する大統領令が公表された。米国政府機関向けに調達するシステムは、セキュリティー対策の根拠としてSBOMの提出が求められる。 政府機関向け調達要件は一般企業の取引にも適用されていくことが通例であるため、今後の動向は無視できない。
日本でもIoT製品の脆弱性を狙ったサイバー脅威が高まっていることを背景に、経済産業省で「IoT製品に対するセキュリティ適合性評価制度」の構築に向けた検討がなされ、2024年3月には検討会の最終のとりまとめが公表された。経済産業省では重要インフラ事業者、地方公共団体などにおいてIoT製品調達ルールに本制度が活用されるよう働きかけを行う予定である。
日立ソリューションズは、こうした様々な法規制も幅広く支援可能だ。これを実現するのが「PLMセキュリティソリューション」である(図2)。先に触れたサイバーレジリエンス法対応コンサルティングもこのメニューの1つだ。ここからは、それ以外のメニューについて見ていきたい。
図2 PLMセキュリティソリューションの全体像
デジタル製品のサイバーセキュリティーに関連する法規対応を設計・開発段階からワンストップで支援する
サイバーセキュリティーに関連する法規への準拠には、それに対応する組織づくりが重要となる。「PSIRT構築コンサルティング」では、それぞれの法規に対応したPSIRT組織の立ち上げ、インシデント発生時に迅速に対応できる仕組みの構築を支援する。「自動車業界や製造業での実績をもとに策定したひな型をカスタマイズすることで、インシデント発生時の対応プロセスを短期間で実現できます。さらにPSIRTメンバーや開発・品質保証部門メンバーの教育・トレーニングを通じ、運用の定着までサポートします」と斉藤氏は説明する。
次に「セキュリティ設計支援コンサルティング」は、コンサルティングで策定したプロセスに従って、実際の製品設計・開発を支援する。「コーディングルールや開発ガイドラインの作成、セキュリティー規約への適合などを支援するほか、現場のセキュリティー意識の底上げを必要とするお客様向けにワークショップを実施することもあります」と小俣氏は語る。
また、実装が必要な機能があれば「IoTセキュリティライブラリ」を活用できる。これはその名の通り、IoT機器に求められるセキュリティー機能をライブラリ化したもの。「データ暗号化や改ざん検知、IoT機器への暗号鍵や証明書の配布・管理の仕組みなどを一から開発せずに、短期間かつ低コストで実装できます」と小俣氏。また特別なセキュリティー要件の実装については、受託開発にも対応するという。
製品開発から出荷後の脆弱性管理まで一元化
サイバーセキュリティー対策は、販売後も製品ライフサイクルを通じて継続的に運用していくことが求められる。しかし、人的リソースが限られる中、人手での運用でリスクに網羅的に対応するのは難しい。これを支援するソリューションもある。それがIoT製品セキュリティプラットフォーム「Cybellum(サイベラム)」だ(図3)。
デジタル製品に組み込まれるソフトウエアを高精度に再現したデジタルツインを生成し、公開された脆弱性情報と突き合わせを実施。自社製品に潜む脆弱性を検出し、そのトリアージ(発生したインシデントの重要性や緊急度を見極めること)まで行える。これによりインシデントへの迅速な対応が可能になるほか、確認に費やす作業負荷も大幅に軽減することができるという。
図3 Cybellumの管理画面
デジタル製品の全体の構成情報を再現したサイバーデジタルツインを生成し、脆弱性情報と突き合わせることで脆弱性を効率よく管理できる
また、Jenkins、GitLabなどのCI/CD(Continuous Integration/Continuous Delivery)ツールやチケット管理ツールであるJira Softwareと連携でき、既存システムと親和性が高い。
「PSIRTの運用を効率化し、各種法規への準拠状況の確認を支援します」と小俣氏はメリットを述べる。Cybellumは既にグローバルで50社超の導入実績があるという。
なぜ日立ソリューションズはこうした包括的な対応が可能なのか。「当社は社会を支える重要なインフラや様々な企業のセキュリティー対策を20年以上にわたり支援し、セキュリティー製品も自社開発してきたからです」と斉藤氏は話す。
日立グループは、家電や産業機械、IoT機器などのメーカーを擁し、製造現場におけるサイバーセキュリティーの“勘所”も分かっている。高度な知識や技術を有するセキュリティーエキスパートも数多く有する。この中で培った技術力・コンサルティング力が、デジタル製品のセキュリティーを支援する強力なアセットとなっているわけだ。
日立ソリューションズのコンサルティングメニューは年々増えており、現在はIEC 62443の認証取得を支援するコンサルティングのメニュー化を検討しているという。今後も日立ソリューションズは長年のノウハウに基づく多様なソリューションの提供を通じ、高度化するデジタル製品のセキュリティー対策をトータルに支援していく考えだ。
株式会社日立ソリューションズ
