こんにちは、さとうです。

2018年7月19日にJPCERT/CCから

の日本語抄訳版が公開されています。

PSIRTとは、自社製品の脆弱性への対応、製品のセキュリティ品質管理・向上を行う組織です。従来のCSIRTの中心は自社組織のセキュリティですが、PSIRTの中心は自社製品のセキュリティです。

近年、製品やサービスを開発・提供する組織へのPSIRTの設置が進みつつありますが、IoT化が進行していくと自社製品にサイバーセキュリティの考慮が必要なかった企業も、新たにPSIRT設置・強化が必要な企業が増えていくことは間違いないと思われます。そのようなアクションをサポートしてくれる文書だと考えられます。

当文書は、PSIRTが果たすべき責任や活動に必要な能力等について記述したもので、FIRST（米国CERT/CCなどが中心となって設立した世界中のCSIRTが協力・連携するフォーラム組織）が作成・公開しています。
※なお、2018年6月2日にFIRSTからVer1.0の最終版（英文）が公開されています。

当文書では、PSIRTの運用基盤（Operational foundation）として以下の10のコンポーネントを挙げています。

組織の経営層および主要な意思決定者からの支援を獲得する。

－PSIRT の運用目的、重要性、セキュリティ脆弱性の潜在的リスク等を理解してもらう必要がある

ステークホルダを特定し、彼らとの関係性を明らかにする。

－顧客、セキュリティ研究者、CSIRT、その他の PSIRT のような外部のステークホルダ

－ソフトウェア開発者、エンジニア、サポート、法務、広報などの社内ステークホルダも含まれる

PSIRT 憲章あるいはその他の文書（戦略計画、実施計画、運用文書のコンセプトなど）を作成する。

－PSIRT のミッション、目的、役割と責任、製品やサービス

PSIRT の組織構造とモデルを決定し、文書化する。

組織の管理者や内部のステークホルダからのサポートの「合意」を得る。
※上記１~５は最終版では『戦略』（Strategic）にカテゴライズされています。

PSIRT を運用するために必要なリソースを特定し、これらのリソースを賄うための適切な資金を調達する。

－PSIRT スタッフを雇用するための経費（給与、福利厚生、その他のコスト）、

－機器およびその他の経費（情報技術システム/機器、ソフトウェアライセンス）、

－訓練予算（旅費を含む）が

PSIRT のサービスを提供するための人材を特定し、熟練したスタッフを獲得する。

PSIRT 運用のために他に必要なリソースやツールを特定して取得する。

－施設（オフィススペース）などのインフラ

－ツール/技術/機器（ハードウェア、ソフトウェア）

－脆弱性報告システム/方法

－安全なコミュニケーション

－脆弱性データベース／トラッキングシステム
※上記６~８は最終版では『戦術』（Tactical）にカテゴライズされています。

ポリシー、プロセス、運用に関連する手順の文書化。

改善点を特定できるようにするため、パフォーマンスおよび/または有効性を評価するための指標を定める。
※上記９~１０は最終版では『運用』（Operational）にカテゴライズされています。

また、当文書では、PSIRTの組織構造として以下の6つのサービスエリアを定めています。これらが具体的にPSIRTとして行うサービスになります。

　目的：連携可能なまたは連携しなければならないステークホルダと、情報共有するプロセスとメカニズムをハイライトする

　目的：製品の脆弱性、脆弱なサードパーティ製品、アーキテクチャ上の弱点について、さまざまな情報源から情報収集するプロセスとメカニズムを確立する。

　目的：どのように脆弱性レポートがトリアージされるか定義する。

　目的：ステークホルダや下流ベンダにセキュリティ修正プログラムをリリースし通知するために必要なプロセスとメカニズムを示す

　目的：脆弱性情報や対策情報を適切に開示するために、発見者、調整機関、下流ベンダなどとどのように連携しているかを、ステークホルダやパートナーが把握できるように透明性を確保する

　※本章での目的の記載なし

本書は、サービスエリア１のステークホルダエコシステムマネジメントが特に記述が多く、インシデント対応には関係者との調整、情報共有ががいかに重要であるかを示しています。

なお、本書の冒頭には、

とあります。

製品開発の現場は、自らもPSIRTの一員であるかのような密接な連携と役割が求められてきています。

さとう